3/2016 


Datenschutz 
Nachrichten 


ei) IS (©) 
- 
on 
ce N 9 
392 
es 
> 
[05] 
[05] 
—_ 


327 ,; » » 8 


IS /IZ 


\ - 


SIckje arzuileic-loler=1(=JoKie alE1 2 
in neuen Gewändern 


m Beschäftigtendatenschutz in neuen Gewändern? m EU- 
US Privacy Shield m Das Phänomen Pokemon GO sm 
Nachrichten m Rechtsprechung m Buchbesprechungen m 


Deutsche Vereinigung für Datenschutz e.V. 


www.datenschutzverein.de 


Islarzlıı 


Beschäftigtendatenschutz in neuen Gewändern? Frank Spaeing 


Der EU-US Privacy Shield aus Sicht der DVD 131 


Werner Hülsmann 
Die Europäische Datenschutzgrundverordnung Das Phänomen Pok&mon GO 
und der Beschäftigtendatenschutz 117 

Frank Spaeing 
Karin Schuler, Thilo Weichert Pokemon GO und Datenschutz? 134 
Vorschläge für ein modernes 
Beschäftigtendatenschutzrecht 119 Roland Appel 

Die Informationelle Selbstenthauptung 127 
Monika Heim 
Persönlichkeitsrechte werden nicht Datenschutz Nachrichten 
am Werkstor abgegeben! 122 

Deutschland 140 
Lothar Schröder 
Zur Statik des Beschäftigtendatenschutzes 124 Ausland 144 
EU-US Privacy Shield Technik 151 
Neil Watkins Rechtsprechung 153 
Transatlantic Compliance: Understanding today’s 
picture and best practice next steps 127 _ Buchbesprechungen 157 


Victorine Kossi 
Der Weg zum EU-US Privacy Shield 129 


=Ycsallal-: 


21. und 22. Oktober 2016 
Geheimdienste vor Gericht: 
Humboldt-Universität und 
Maxim Gorki Theater Berlin 
http://www.ausgeschnueffelt.de 


Samstag, 22. Oktober 2016 
DVD-Vorstandssitzung 
Bonn. Anmeldung in der 
Geschäftsstelle 
dvd@datenschutzverein.de 


Sonntag, 23. Oktober 2016 
DVD-Mitgliederversammlung 
Bonn. 
dvd@datenschutzverein.de 


Foto: Uwe Schlick / pixelio.de 


114 


Dienstag, 01. November 2016 
Redaktionsschluss DANA 42016 ——— I 


Thema: Tracking, Profiling, 
Werbung, Marketing 


Mittwoch, Ol. Februar 2017° 
Redaktionsschluss DANA 1/2017 
Thema: Verbraucherschutz 


DANA » Datenschutz Nachrichten 3/2016 


DANA 


Datenschutz Nachrichten 
ISSN 0137-7767 
39. Jahrgang, Heft 3 


Herausgeber 
Deutsche Vereinigung für 
Datenschutz e.V. (DVD) 
DVD-Geschöäftstelle: 
Reuterstraße 157, 53113 Bonn 
Tel. 0228-222498 
IBAN: DE94 3705 0198 0019 0021 87 
Sparkasse KölnBonn 
E-Mail: dvd@datenschutzverein.de 
www.datenschutzverein.de 


Redaktion (ViSdP) 
Riko Pieper, Frank Spaeing 
c/o Deutsche Vereinigung für 
Datenschutz e.V. (DVD) 
Reuterstraße 157, 53113 Bonn 
dvd@datenschutzverein.de 
Den Inhalt namentlich gekenn- 
zeichneter Artikel verantworten die 
jeweiligen Autoren. 


Layout und Satz 
Frans Jozef Valenta, 53119 Bonn 
valenta@datenschutzverein.de 


Druck 
Onlineprinters GmbH 
Rudolf-Diesel-Straße 10 
91413 Neustadt a. d. Aisch 
www.diedruckerei.de 
Tel. +49 (0) 91 61 / 6 20 98 00 
Fax +49 (0) 91 61 / 66 29 20 


Bezugspreis 
Einzelheft 12 Euro. Jahresabonne- 
ment 42 Euro (incl. Porto) für vier 
Hefte im Kalenderjahr. Für DVD- 

Mitglieder ist der Bezug kostenlos. 

Das Jahresabonnement kann zum 
31. Dezember eines Jahres mit einer 

Kündigungsfrist von sechs Wochen 
gekündigt werden. Die Kündigung ist 
schriftlich an die DVD-Geschäftsstel- 

le in Bonn zu richten. 


Copyright 
Die Urheber- und Vervielfältigungs- 
rechte liegen bei den Autoren. 
Der Nachdruck ist nach Genehmi- 
gung durch die Redaktion bei Zu- 
sendung von zwei Belegexemplaren 
nicht nur gestattet, sondern durch- 
aus erwünscht, wenn auf die DANA 
als Quelle hingewiesen wird. 


Leserbriefe 
Leserbriefe sind erwünscht. Deren 
Publikation sowie eventuelle Kür- 

zungen bleiben vorbehalten. 


Abbildungen, Fotos 
Frans Jozef Valenta 


DANA » Datenschutz Nachrichten 3/2016 


Editorial 


Gegen Ende des letzten Jahres zeichnete sich bereits ab, dass die DSGVO noch vor 
Jahresende in ihrer Endversion vorliegen und dann zügig von den verbleibenden 
Instanzen verabschiedet werden würde. Auch war damals bereits bekannt, dass es 
zum Arbeitnehmerdatenschutz keine konkreten Regelungen in der DSGVO geben 
würde, sondern eine von den jeweiligen nationalen Gesetzgebern zu füllende Öff- 
nungs- bzw. Konkretisierungsklausel. Aufgrund der in Deutschland bevorstehenden 
Bundestagswahl im Herbst 2017 stand somit (rückwärts gerechnet) auch fest, dass 
die nationalen Anpassungen spätestens gegen Ostern 2017 verabschiedet sein müs- 
sen, was wiederum bedeutete, dass sie den entsprechenden Gremien bereits gegen 
Herbst 2016 vorliegen müssen. Wir gingen somit davon aus, dass die erste Entwurfs- 
version eines BDSG-Nachfolgegesetzes vor dem Erscheinen des Herbst-Heftes der 
DANA vorliegen, veröffentlicht und heiß diskutiert werden würde. Somit beschlos- 
sen wir, diesem Heft das Schwerpunktthema „Beschäftigtendatenschutz in neuen 
Gewändern“ zu geben. 


Es kam jedoch anders: Eine erste Version eines Referentenentwurfs des „Allgemei- 
nen Bundesdatenschutzgesetzes“ (ABDSG) ist der DVD tatsächlich kurz vor Redak- 
tionsschluss dieses Heftes in die Hände gefallen und Werner Hülsmann geht darauf 
in seinem Artikel „Die Europäische Datenschutzgrundverordnung und der Beschäf- 
tigtendatenschutz“ ein. 

Zusammengefasst kann man feststellen, dass das ABDSG bezüglich des 
Beschäftigtendatenschutzes und der in diesem Zusammenhang auch wichtigen Rolle 
des Datenschutzbeauftragten folgende Eckpunkte enthält: 

Der $ 32 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Be- 
schäftigungsverhältnisses) wird in das ABDSG übernommen. 


Der $ 3 Abs. 11 (Definition von Beschäftigten) wird in das ABDSG übernommen. 
Die Pflicht zur Bestellung eines DSB ist aus $ 4f BDSG sinngemäß übernommen: 


„...soWeit sie in der Regel mindestens zehn Personen ständig mit der Verarbeitung 
personenbezogener Daten beschäftigen“ 


« Der Kündigungsschutz für DSBs wurde aus $ 4f BDSG übernommen. 


Über den seit 2009 existierenden $ 32 BDSG wurde von Anfang an viel diskutiert — 
auch in den folgenden Artikeln dieses Heftes. Einerseits sollte der Beschäftigtenda- 
tenschutz deutlich umfangreicher geregelt werden als es in diesem einen Paragrafen 
der Fall ist und andererseits wird von vielen Datenschützern seit Jahren gefordert, 
den Beschäftigtendatenschutz ganz aus dem BDSG (oder neu ABDSG) zu entfernen 
und in einem separaten Arbeitnehmerdatenschutzgesetz zu regeln. Dass es wieder 
einmal nicht (inzwischen seit ca. acht Legislaturperioden) zu dem auch in vielen 
Wahlkämpfen zugesagten Arbeitnehmerdatenschutzgesetz kommt, ist mehr als är- 
gerlich. Im aktuellen Koalitionsvertrag war es jedenfalls anders vereinbart und wir 
haben derzeit eine große Koalition und eine schwache Opposition — noch dazu eine, 
die sich kaum gegen ein Beschäftigtendatenschutzgesetz sperren würde. 


Das Argument, das man aus Regierungskreisen zur Beibehaltung (bzw. Übernahme) 
des $ 32 BDSG derzeit hört ist, dass man die Verabschiedung der DSGVO min- 
destens zwei Jahre früher erwartet hatte. Dann wäre Zeit gewesen, den Beschäftig- 
tendatenschutz noch in dieser Legislaturperiode grundlegend neu anzupacken. Aber 
so war dafür halt keine Zeit und das Thema wird (wieder einmal) auf die nächste 
Legislaturperiode verschoben. Wir werden sehen. 


Bezüglich der Kriterien zur Bestellung des DSB und dessen Kündigungsschutz hat 
die Regierung (jedenfalls bis zum geleakten 1. Referentenentwurf) Wort gehalten. Es 
wurde immer wieder von deutschen Regierungsvertretern erklärt, dass man an dem 
in Deutschland erfolgreichen Konzept des DSB und dessen Stellung nichts ändern 
wollte. Jetzt müssen wir abwarten, ob dies auch so bleibt, bis das Gesetz verabschie- 
det ist. Viele Datenschutzbeauftragte waren da skeptisch und werden es vermutlich 
noch ein paar Monate bleiben. 
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Interessant ist im Zusammenhang mit dem Kündigungsschutz für DSBs, dass die 
ersten Kommentatoren der DSGVO zu dem Schluss kamen, dass der im BDSG ver- 
ankerte Kündigungsschutz mit der DSGVO nicht mehr möglich sein wird. Begrün- 
det wurde das damit, dass die DSGVO weder einen dem BDSG vergleichbaren Kün- 
digungsschutz vorsieht noch eine Öffnungsklausel dafür. Auch Regierungsvertreter 
sahen das noch bis vor wenigen Monaten so und stellten die Datenschutzbeauftrag- 
ten bereits darauf ein, dass sich dieser Punkt wohl nicht aus dem BDSG übernehmen 
ließe. 


Dann fand sich aber doch noch ein Argument, über das sich der Kündigungsschutz 
trotz der ansonsten vorrangigen DSGVO noch retten ließe: Es wurde argumentiert, 
dass der Kündigungsschutz für Datenschutzbeauftragte ja gar kein Datenschutzthe- 
ma wäre, sondern ein Thema des Arbeitsrechts. Darüber sagt die DSGVO jedoch 
nichts aus, so dass man hierfür auch keine Öffnungsklausel bräuchte'. Warten wir ab, 
ob sich diese Sichtweise aufrechterhalten lässt. 


Falls es tatsächlich so bleibt, ist dieser Kündigungsschutz übrigens nicht nur für be- 
nannte? interne Datenschutzbeauftragte eine gute Nachricht, sondern auch für exter- 
ne. Für extern benannte Datenschützer gilt ein Kündigungsschutz zwar nicht, denn 
sie haben ja keinen Arbeitsvertrag. Dafür haben sie aber ein sehr gutes Argument, 
weshalb sie als Externe unter Vertrag genommen werden sollten. Jedes Ding hat halt 
seine zwei Seiten. 


Für die meisten Autoren dieses Heftes kommt der (bis Redaktionsschluss noch nicht 
öffentlich verfügbare) Referentenentwurf aber zu spät, so dass der Beschäftigtenda- 
tenschutz zunächst ohne Kenntnis der konkreten gesetzlichen Vorgaben aus Deutsch- 
land betrachtet werden musste. Hinzu kommt, dass sich vom Referentenentwurf bis 
zum verabschiedeten Gesetz ja wie schon erwähnt auch noch einiges ändern kann. 


Dieses ungeplante Informationsdefizit hatte jedoch den Vorteil, dass die Autoren 
ganz unvoreingenommen ihre Positionen darstellen konnten, was besonders deut- 
lich in dem Beitrag der Betriebsrätin und Gewerkschafterin (IG Metall) Monika 
Heim „Persönlichkeitsrechte werden nicht am Werkstor abgegeben!“ zum Ausdruck 
kommt. Ergänzt wird die Sicht der Arbeitnehmervertretung durch einen Artikel von 
Lothar Schröder, ver.di- und Aufsichtsratsmitglied (BR) der Telekom, der in seinem 
Artikel auf „Die Statik des Beschäftigtendatenschutzes“ eingeht. 


Auch der Artikel von Karin Schuler und Thilo Weichert über „Vorschläge für ein 
modernes Beschäftigtendatenschutzrecht“ zählt eine Reihe konkreter Punkte auf, die 
ein neuer Arbeitnehmerdatenschutz regeln sollte. 


Der Artikel der amerikanischen Juristin Jayne Rothman „Transatlantic Compliance: 
Understanding today’s picture and best practice next steps‘ nähert sich dem Beschäf- 
tigtendatenschutz über ein anderes aktuelles Thema — dem EU-US Privacy Shield. 
Ergänzend dazu gibt es auch einen Artikel einer betrieblichen Datenschützerin aus 
Deutschland, Frau Dr. Kossi, mit dem Titel: „Der Weg zum EU-US Privacy Shield“. 


Beide Sichten auf den EU-US Privacy Shield sind aus Unternehmenssicht, zusätz- 
lich stellt Frank Spaeing in seinem Artikel die Position der DVD zum EU-US Pri- 
vacy Shield dar. 


Ein ganz anderes — jedoch genauso aktuelles — Thema, das in diesem Heft mit zwei 
Beiträgen vertreten ist, betrifft das „Spiel“ Pokemon GO. Im ersten Beitrag stellt 
Frank Spaeing Pokemon GO in seinen vielfältigen Facetten dar. Im sich anschlie- 
Benden Artikel mit dem Titel „Die informationelle Selbstenthauptung‘“ von Roland 
Appel wird klar, warum das Wort „Spiel“ in diesem Zusammenhang in Anführungs- 
zeichen geschrieben werden muss. 


Wie immer schließen sich diesen Beiträgen nationale, internationale und technische 
Datenschutznachrichten an. Danach finden Sie Meldungen zu aktueller Rechtspre- 
chung und abschließend einige Buchbesprechungen. 


Eine anregende und informative Lektüre wünschen Ihnen 
Riko Pieper und Frank Spaeing 
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1 Für den Beschäftigtendatenschutz gibt 
es im Art. 88 DSGVO eine Öffnungs- 
klausel. Die betrifft jedoch die Rege- 
lung des Datenschutzes für Beschäftig- 
te und keine arbeitsrechtlichen Aspekte. 


2 Die „Bestellung“ nach $ 4f BDSG 
entspricht der „Benennung“ nach 
Art. 37 DSGVO und heißt somit 
auch im ABDSG „Benennung“. 
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Werner Hülsmann 


Die Europäische Datenschutzgrundverordnung und 
der Beschäftigtendatenschutz 


Beschäftigtendatenschutz in der 
EU-DSGVO 


Die Europäischen Datenschutzgrund- 
verordnung (EU-DSGVO) enthält be- 
dauerlicherweise fast keine direkt wir- 
kenden Regelungen zum Beschäftig- 
tendatenschutz, sondern in erster Linie 
in Artikel 88 nur eine Konkretisierungs- 
klausel, die es den EU-Mitgliedstaaten 
ermöglicht durch gesetzgeberische 
Maßnahme und Kollektivvereinbarun- 
gen den Beschäftigtendatenschutz zu 
regeln und die so Rahmenbedingen vor- 
gibt. Im korrespondieren Erwägungs- 
grund 155 werden Betriebsvereinbarun- 
gen als Beispiel für Kollektivvereinba- 
rungen explizit genannt. Auch in den 
Begriffsbestimmungen des Artikel 4 
EU-DSGVO findet sich keine Definition 
des Begriffs Beschäftigte, obwohl dieser 
Begriff in der EU-DSGVO doch mehr- 
mals auftaucht. 


„Artikel 88 Datenverarbeitung im 
Beschäftigungskontext [der EU- 
DSGVO] 


(1) Die Mitgliedstaaten können durch 
Rechtsvorschriften oder durch Kol- 
lektivvereinbarungen spezifischere 
Vorschriften zur Gewährleistung des 
Schutzes der Rechte und Freiheiten 
hinsichtlich der Verarbeitung personen- 
bezogener Beschäftigtendaten im Be- 
schäftigungskontext, insbesondere für 
Zwecke der Einstellung, der Erfüllung 
des Arbeitsvertrags einschließlich der 
Erfüllung von durch Rechtsvorschrif- 
ten oder durch Kollektivvereinbarungen 
festgelegten Pflichten, des Manage- 
ments, der Planung und der Organisation 
der Arbeit, der Gleichheit und Diversität 
am Arbeitsplatz, der Gesundheit und 
Sicherheit am Arbeitsplatz, des Schut- 
zes des Eigentums der Arbeitgeber oder 
der Kunden sowie für Zwecke der Inan- 
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spruchnahme der mit der Beschäftigung 
zusammenhängenden individuellen oder 
kollektiven Rechte und Leistungen und 
für Zwecke der Beendigung des Be- 
schäftigungsverhältnisses vorsehen. 

(2) Diese Vorschriften umfassen ange- 
messene und besondere Maßnahmen zur 
Wahrung der menschlichen Würde, der 
berechtigten Interessen und der Grund- 
rechte der betroffenen Person, insbeson- 
dere im Hinblick auf die Transparenz 
der Verarbeitung, die Übermittlung per- 
sonenbezogener Daten innerhalb einer 
Unternehmensgruppe oder einer Gruppe 
von Unternehmen, die eine gemeinsame 
Wirtschaftstätigkeit ausüben, und die 
Überwachungssysteme am Arbeitsplatz. 

(3) Jeder Mitgliedstaat teilt der Kom- 
mission bis zum 25. Mai 2018 die Rechts- 
vorschriften, die eraufgrund von Absatz 1 
erlässt, sowie unverzüglich alle späteren 
Änderungen dieser Vorschriften mit.“ 

Auch wenn Absatz 3 Anderes vermu- 
ten lässt: Es ist auch nach dem 25. Mai 
2018 den Mitgliedstaaten noch mög- 
lich, nationale Rechtsvorschriften zum 
Beschäftigtendatenschutz zu erlassen. 
Auch diese müssen dann der Kommissi- 
on unverzüglich mitgeteilt werden. 


„Erwägungsgrund 155 [der 
EU-DSGVO] 


Im Recht der Mitgliedstaaten oder in 
Kollektivvereinbarungen (einschließ- 
lich ’Betriebsvereinbarungen’) können 
spezifische Vorschriften für die Verar- 
beitung personenbezogener Beschäf- 
tigtendaten im Beschäftigungskontext 
vorgesehen werden, und zwar insbeson- 
dere Vorschriften über die Bedingungen, 
unter denen personenbezogene Daten im 
Beschäftigungskontext auf der Grund- 
lage der Einwilligung des Beschäftig- 
ten verarbeitet werden dürfen, über die 
Verarbeitung dieser Daten für Zwecke 
der Einstellung, der Erfüllung des Ar- 
beitsvertrags einschließlich der Erfüllung 


von durch Rechtsvorschriften oder durch 
Kollektivvereinbarungen festgelegten 
Pflichten, des Managements, der Pla- 
nung und der Organisation der Arbeit, 
der Gleichheit und Diversität am Arbeits- 
platz, der Gesundheit und Sicherheit am 
Arbeitsplatz sowie für Zwecke der Inan- 
spruchnahme der mit der Beschäftigung 
zusammenhängenden individuellen oder 
kollektiven Rechte und Leistungen und 
für Zwecke der Beendigung des Beschäf- 
tigungsverhältnisses.“ 

Die Beachtung dieses Rahmens sollte 
dem nationalen Gesetzgeber leicht fallen. 
Bei der Aushandlung von Kollektivver- 
einbarungen sieht es dagegen vermutlich 
etwas schwieriger aus, da bisher bei den 
datenschutzrechtlichen Bestandteilen von 
Betriebsvereinbarungen kein vorgegebe- 
ner konkreter Rahmen zu beachten war. 
Die Regelungen des BDSG enthalten in 
diesem Bezug nur abstrakte Formulie- 
rungen. Zwar gibt auch das allgemeine 
Persönlichkeitsrecht der Beschäftigten 
und das Recht auf informationelle Selbst- 
bestimmung den Rahmen der möglichen 
Regelungen vor, in der Praxis erfolgte 
aber auch hier kein direkter Abgleich mit 
diesen abstrakten Vorgaben. 


Planungen der Bundesregierung 
zur nationalen Gesetzgebung 


Die Bundesregierung plant — laut 
übereinstimmenden Aussagen des BMI 
und des zuständigen Mitarbeiters der 
BfDI den $ 32 BDSG in die Zeit nach 
der Ablösung des jetzigen BDSG zu 
„retten“ und somit zumindest diese mi- 
nimalistische Regelung zum Beschäftig- 
tendatenschutz weiter gelten zu lassen: 


„g 32 Datenerhebung, -verarbeitung 
und -nutzung für Zwecke des Be- 


schäftigungsverhältnisses 


(1) Personenbezogene Daten eines Be- 
schäftigten dürfen für Zwecke des Be- 
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schäftigungsverhältnisses erhoben, verar- 
beitet oder genutzt werden, wenn dies für 
die Entscheidung über die Begründung 
eines Beschäftigungsverhältnisses oder 
nach Begründung des Beschäftigungs- 
verhältnisses für dessen Durchführung 
oder Beendigung erforderlich ist. Zur 
Aufdeckung von Straftaten dürfen perso- 
nenbezogene Daten eines Beschäftigten 
nur dann erhoben, verarbeitet oder ge- 
nutzt werden, wenn zu dokumentierende 
tatsächliche Anhaltspunkte den Verdacht 
begründen, dass der Betroffene im Be- 
schäftigungsverhältnis eine Straftat be- 
gangen hat, die Erhebung, Verarbeitung 
oder Nutzung zur Aufdeckung erforder- 
lich ist und das schutzwürdige Interesse 
des Beschäftigten an dem Ausschluss 
der Erhebung, Verarbeitung oder Nut- 
zung nicht überwiegt, insbesondere Art 
und Ausmaß im Hinblick auf den Anlass 
nicht unverhältnismäßig sind. 

(2) (...) 

(3) Die Beteiligungsrechte der Inte- 
ressenvertretungen der Beschäftigten 
bleiben unberührt.“ 

In dem der Redaktion vorliegenden 
„Entwurf eines Gesetzes zur Anpassung 
des Datenschutzrechts an die Daten- 
schutz-Grundverordnung und zur Um- 
setzung der Richtlinie (EU) 2016/680 
(Datenschutz-Anpassungs- und -Um- 
setzungsgesetz EU — DSAnpUG-EU)“ 
mit Stand von Anfang August finden 
sich diese Passagen im darin als Artikel 
1 enthaltenen „Allgemeinen Bundesda- 
tenschutzgesetz - ABDSG“ wieder. 

Da in der EU-DSGVO gemäß Artikel 4 
Absatz 2 nicht mehr zwischen „mit oder 
ohne Hilfe automatisierter Verfahren“ 
durchgeführter Datenverarbeitung un- 
terschieden wird, wäre der Absatz 2 
eigentlich obsolet, findet sich aber im 
Entwurf wieder. 

Die in den $ 33 ABDSG-E übernom- 
menen Formulierungen des $ 32 BDSG 
— ergänzt um die Begriffsbestimmung 
aus $ 3 Absatz Il BDSG - erfüllen zwar 
die Anforderungen von Artikel 88 EU- 
DSGVO Absatz 2, nicht aber die An- 
forderungen an ein Beschäftigtendaten- 
schutzgesetz, das diesen Namen verdie- 
nen würde. Es ist zwar besser als nichts, 
dass die Absätze 1 und 3 des bisherigen 
$ 32 BDSG zum Beschäftigtendaten- 
schutz beibehalten werden, eine wirksa- 
me und umfassende Regelung zum Be- 
schäftigtendatenschutz sähe aber anders 
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aus und ist längst überfällig. In den letz- 
ten Jahren hat die Bundesregierung die 
bevorstehende EU-DSGVO und eine 
eventuell damit einhergehende EU-wei- 
te einheitliche Regelungen des Beschäf- 
tigtendatenschutzes als Begründung für 
ihr Nichtstun in Sachen Beschäftigten- 
datenschutz angegeben. Diese Entschul- 
digung gilt seit Ende 2015 nicht mehr. 
Nichtsdestotrotz ist bislang kein Gesetz- 
entwurf zum Beschäftigtendatenschutz 
seitens der Bundesregierung vorgelegt 
worden. 


Tarif- und Betriebsvereinbarun- 
gen zum Beschäftigtendaten- 
schutz 


Bereits bisher wurden „Kollektivverein- 
barungen““, also Tarif- und Betriebsverein- 
barungen, die Regelungen zum Umgang 
mit Beschäftigtendaten enthalten, als „an- 
dere Rechtsvorschriften“ im Sinne des $ 4 
Absatz 1 BDSG angesehen. Mit diesen 
Vereinbarungen konnte und wurde für de- 
ren Geltungsbereich der Beschäftigtenda- 
tenschutz in den einzelnen Unternehmen 
oder Unternehmensgruppen geregelt. 
Durch die Regelung des Artikel 88 Absatz 1 
bleibt diese Möglichkeit erhalten. Dabei 
gibt auch für diese Kollektivvereinbarun- 
gen der Absatz 2 des Artikel 88 den Rah- 
men für derartige Vereinbarungen vor. 

Daher sind die in den bereits bestehen- 
den Betriebs- und Tarifvereinbarungen 
enthaltenen Regelungen dahingehend 
zu überprüfen, ob sie diesen Anforde- 
rungen genügen, damit sie nach dem 25. 
Mai 2018 Bestand haben. Daher sollte 
in den Betrieben auf Arbeitgeber- wie 
auch auf Betriebsratsseite damit begon- 
nen werden, die bestehenden Betriebs- 
vereinbarungen daraufhin zu überprüfen, 
ob sie den Anforderungen aus Artikel 88 
Absatz 2 EU-DSGVO genügen. Be- 
triebsvereinbarungen, deren datenschutz- 
relevante Bestandteile diesen Anforde- 
rungen nicht genügen, sollten rechtzeitig 
angepasst werden. 

Die datenschutzrelevanten Bestand- 
teile der Betriebsvereinbarungen müs- 
sen angemessene und besondere Maß- 
nahmen zur Wahrung 
« der menschlichen Würde, 

« der berechtigten Interessen und 

° der Grundrechte der betroffenen Per- 
son, 

enthalten und dabei insbesondere 


die Transparenz der Verarbeitung, 

« die Übermittlung personenbezogener 
Daten innerhalb einer Unternehmens- 
gruppe oder einer Gruppe von Unter- 
nehmen, die eine gemeinsame Wirt- 
schaftstätigkeit ausüben, und 

* die Überwachungssysteme am Ar- 
beitsplatz 

im Blick haben. 


Einzelne verstreute Regelungen 
zum Umgang mit Beschäftigten- 
daten in der EU-DSGVO 


Übermittlung von Beschäftigtendaten 
innerhalb von Unternehmensgrup- 
pen. 


Im Erwägungsgrund 48 wird die Über- 
mittlung von Beschäftigtendaten „inner- 
halb der Unternehmensgruppe für interne 
Verwaltungszwecke“ ausdrücklich als 
mögliches berechtigtes Interesse aufge- 
führt, so dass eine solche Übermittlung 
gemäß Artikel 6 Absatz 1 Buchstabe f 
EU-DSGVO zulässig ist, „sofern nicht die 
Interessen oder Grundrechte und Grund- 
freiheiten der betroffenen Person, die den 
Schutz personenbezogener Daten erfor- 
dern, überwiegen“. 

„Verantwortliche, die Teil einer Un- 
ternehmensgruppe oder einer Gruppe 
von Einrichtungen sind, die einer zent- 
ralen Stelle zugeordnet sind können ein 
berechtigtes Interesse haben, personen- 
bezogene Daten innerhalb der Unterneh- 
mensgruppe für interne Verwaltungs- 
zwecke, einschließlich der Verarbeitung 
personenbezogener Daten von Kunden 
und Beschäftigten, zu übermitteln. Die 
Grundprinzipien für die Übermittlung per- 
sonenbezogener Daten innerhalb von Un- 
ternehmensgruppen an ein Unternehmen 
in einem Drittland bleiben unberührt.“ 
(Erwägungsgrund 48 der EU-DSGVO) 

In der Praxis wurde und wird in Unter- 
nehmen, bei denen kein Betriebsrat exis- 
tiert und somit auch keine Betriebsver- 
einbarung vereinbart werden kann, die als 
„andere Rechtsvorschrift‘“ gelten würde, 
bislang auch schon die Interessenabwä- 
gung gemäß $ 28 Absatz 1 Satz 1 Ziffer 
2 BDSG als Rechtfertigungsgrundlage für 
konzerninterne Datenübermittlungen von 
Beschäftigtendaten für unterschiedliche 
Verwaltungszwecke herangezogen. Abge- 
sehen davon, dass die Übermittlung von 
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Beschäftigtendaten zu internen Verwal- 
tungszwecken innerhalb einer Unterneh- 
mensgruppen in diesem Erwägungsgrund 
ausdrücklich als mögliches berechtigtes 
Interesse angegeben ist, ändert sich ver- 
mutlich nichts in der praktischen Umset- 
zung. 


Beurteilung der Arbeitsfähigkeit 
des Beschäftigten 


In Artikel 9 Absatz 2 Buchstabe h EU- 
DSGVO wird die Verarbeitung von be- 
sonderen Datenarten, zu denen u.a. die 
Gesundheitsdaten gehören, zu Zwecken 
„der Arbeitsmedizin, für die Beurteilung 
der Arbeitsfähigkeit des Beschäftigten“ 
ausdrücklich erlaubt. Die Daten dürfen da- 
bei nur von Personen verarbeitet werden, 
die einem Berufsgeheimnis (wie z.B. der 
ärztlichen Schweigepflicht) oder Geheim- 


haltungspflichten unterliegen, die sich aus 
EU- oder nationaler Gesetzgebung sowie 
berufsständischer Verpflichtungen erge- 
ben können. Diese Einschränkung ent- 
spricht der Regelung aus $ 28 Absatz 7 
BDSG. Im BDSG ist allerdings eine Ver- 
wendung von Gesundheitsdaten zu Zwe- 
cken der Arbeitsmedizin und zur Beurtei- 
lung der Arbeitsfähigkeit nicht ausdrück- 
lich genannt. Zumindest die Nutzung von 
Gesundheitsdaten für die Arbeitsunfähig- 
keitsbescheinigung ist bereichsspezifisch 
im $ 5 des Gesetzes über die Zahlung 
des Arbeitsentgelts an Feiertagen und 
im Krankheitsfall (Entgeltfortzahlungs- 
gesetz)! geregelt. Die Arbeitsmedizin ist 
ebenfalls bereichsspezifisch im Gesetz 
über Betriebsärzte, Sicherheitsingenieure 
und andere Fachkräfte für Arbeitssicher- 
heit (Arbeitssicherheitsgesetz, ASIG?) 
geregelt. Von daher ist zu erwarten, dass 


Karin Schuler, Thilo Weichert 


Vorschläge für ein modernes 
Beschäftigtendatenschutzrecht 


Mit Art. 88 der Europäischen Daten- 
schutz-Grundverordnung (DSGVO) 
hat der europäische Gesetzgeber fest- 
gelegt, dass die Mitgliedstaaten der Eu- 
ropäischen Union (EU) durch Rechts- 
vorschriften oder durch Kollektivver- 
einbarungen spezifische Datenschutz- 
vorschriften im Beschäftigtenkontext 
regeln können. Damit stellt sich für den 
deutschen Gesetzgeber verschärft die 
Herausforderung, endlich ein nationa- 
les umfassendes Beschäftigtendaten- 
schutzrecht zu schaffen. Entsprechen- 
de Versuche waren seit mehr als drei 
Jahrzehnten immer wieder gescheitert. 
Auch der Entwurf eines Allgemeinen 
Bundesdatenschutzgesetzes (ABDSG), 
welches das bisherige Bundesdaten- 
schutzgesetz (BDSG) als Umsetzungs- 
gesetz der DSGVO ablösen soll, sieht 
nur eine inhaltliche Übernahme des 
bisherigen $ 32 BDSG in einem $ 33 
ABDSG vor. Nunmehr stellt sich die 


DANA » Datenschutz Nachrichten 3/2016 


Aufgabe, die allgemeinen Prinzipien der 
DSGVO in Bezug auf die Verarbeitung 
von Beschäftigtendaten zu spezifizie- 
ren. Im Folgenden werden die hierbei 
relevanten Regelungsthemen sowie die 
dabei zu verfolgenden Erwägungen und 
Inhalte dargestellt. 


1 Regelungsort 


Als Standort für ein nationales Be- 
schäftigtendatenschutzrecht wurde von 
der Bundesregierung bisher das BDSG 
gewählt. Dies basierte auf der Über- 
legung, dass eine Konkretisierung der 
allgemeinen BDSG-Regeln für das Ar- 
beitsverhältnis erfolgt. Diese Annahme 
ist unzutreffend. Wir haben es hier mit 
einer Schnittstelle zu tun, die in glei- 
chem Maße Datenschutzrecht und Ar- 
beitsrecht ist. Die dort jeweils bestehen- 
den allgemeinen Regelungen müssen 
beide vollständig anwendbar bleiben. 


es in der Praxis keine wesentlichen Ände- 
rungen geben wird. 


Fazit 


Nach wie vor ist der nationale Gesetz- 
geber gefordert umfassende gesetzliche 
Regelungen zum Beschäftigtendaten- 
schutz zu erlassen. Er kann sich nun nicht 
mehr auf anstehende EU-Regelungen 
berufen. Arbeitgeber sowie Betriebs- und 
Personalräte sind gefordert die bestehen- 
den Betriebs- und Dienstvereinbarungen — 
insbesondere deren datenschutzrelevante 
Inhalte — auf ihren Bestand nach dem 25. 
Mai 2018 zu überprüfen und gegebenen- 
falls anzupassen. 


1 https://www.gesetze-im-internet. 
de/entgfg/ _5.html 


2. https://www.gesetze-im-internet. 
de/asig/index.html 


Das BDSG wäre zudem mit einem eige- 
nen Kapitel, so wie es der Regierungs- 
entwurf 2010 mit den $$ 32 bis 321 vor- 
sah, überfrachtet worden, was nicht zu 
einer erhöhten Klarheit beigetragen hät- 
te. Um den konkretisierenden Charakter 
sowohl in Bezug auf das allgemeine 
Datenschutzrecht als auch auf das Ar- 
beitsrecht herauszustreichen, empfiehlt 
sich der Erlass eines eigenständigen 
Beschäftigtendatenschutzgesetzes. Eine 
Regelung des Beschäftigtendatenschut- 
zes in einem das BDSG ablösenden AB- 
DSG, das ab 2018 in Kraft treten sollte, 
verbietet sich ebenso, weil ein solches 
Ausführungsgesetz vorrangig eine ge- 
nerell Ergänzungsfunktion zur DSGVO 
haben wird. Gemäß den Vorgaben des 
Art. 88 DSGVO zum Beschäftigtenda- 
tenschutz ist eine sehr weitgehende Re- 
gelung nötig, bei der nur in bestimmten 
prozessualen Fragen auf die allgemei- 
nen Regelungen der DSGVO wie einem 
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noch zu erlassenden nationalen Ausfüh- 
rungsgesetz (künftig also das ABDSG) 
zurückgegriffen werden kann und muss. 

Soweit dies möglich und sinnvoll ist, 
sollten in diesem Gesetz zu konkreten 
Fragestellungen, Anwendungen und 
Zwecken gegenüber dem allgemeinen 
Datenschutzrecht (bisher BDSG, DS- 
GVO) spezielle Festlegungen vorge- 
nommen werden. Dabei sind sämtliche 
Regelungsansätze aus den Vorschlägen 
in der 17. Legislaturperiode des deut- 
schen Bundestags auf den Prüfstand zu 
stellen, die z. B. zu folgenden Aspekten 
Aussagen enthalten: Bewerbung, Ein- 
stellung, Gesundheitsuntersuchung, Ge- 
fahrenabwehr, Strafverfolgung, Video- 
überwachung, Ortung/Tracking, Bio- 
metrieverfahren, Nutzung von Telekom- 
munikations- und Telemediendiensten 
(auch soziale Netzwerke) für dienstliche 
und für private Zwecke, Heimarbeit, 
Konzerndatenverarbeitung. Auf spezifi- 
sche Regelungen, die keine sinnvollen 
und wirksamen Konkretisierungen all- 
gemeiner Vorschriften vornehmen, ist 
konsequent zu verzichten. 

Die gegenüber dem nationalen Gesetz 
oder der DSGVO zu konkretisierenden 
Regelungsgegenstände können alles im 
Beschäftigtendatenschutzrecht erfassen: 
das materielle Recht ebenso wie die Ver- 
pflichtung zu prozeduralen oder tech- 
nisch-organisatorischen Vorkehrungen. 
Es sollte darauf geachtet werden, dass 
diese Regelungen so konkret wie mög- 
lich und so offen wie nötig sind. Ziel 
sollte eine größtmögliche Rechtssicher- 
heit sein, ohne zugleich die sinnvollen 
Entwicklungsmöglichkeiten der Infor- 
mations- und Kommunikationstechnik 
(IKT) zu beschneiden. 


2 Kollektivrechte 


Neu eingeführt werden sollte die 
Konkretisierung gesetzlicher Regelun- 
gen auf überbetrieblicher Ebene. Die 
hierbei zu treffenden Kollektivvereinba- 
rungen können durch den deutschen Ge- 
setzgeber nur für die Arbeitsverhältnisse 
in Deutschland vorgesehen werden. Im 
Interesse möglichst weitgehender euro- 
päischer Einheitlichkeit sollte zumindest 
mittelfristig auch auf europäischer Ebe- 
ne ein solcher Regelungsansatz verfolgt 
werden. Gegenstand solcher Vereinba- 
rungen sollte alles sein, was zu einer be- 
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schäftigungsspezifischen Präzisierung 
der allgemeinen gesetzlichen Regelun- 
gen führt. So kann es naheliegend sein, 
branchenspezifische Konkretisierungen 
vorzunehmen. Denkbar sind aber auch 
branchenübergreifende Regelungen zu 
bestimmten Fragestellungen, wie etwa 
zum Einsatz von Videotechnik oder zur 
digitalen Zeiterfassung. 

Regulatorische Vorbilder für die über- 
betrieblichen Kollektivvereinbarungen 
können neben den Regelungen des 
BetrVG der $ 38a BDSG und der Art. 40 
DSGVO sein, welche die Anerkennung 
von Verhaltensregeln durch eine Auf- 
sichtsbehörde vorsehen. Anstelle von 
Verbänden verarbeitender Stellen soll- 
ten die Kollektivvereinbarungen in pa- 
ritätisch von Arbeitgebern und Arbeit- 
nehmern besetzten Gremien erarbeitet 
werden, die neu zu schaffen wären. 
Auf der Beschäftigtenseite kommt da- 
bei den Gewerkschaften eine wichtige 
Funktion zu. 

Druckmittel zur Veranlassung von 
Verhandlungen und Vereinbarungen 
können gesetzlich geregelte, aufschie- 
bende Vetos sein. Geregelt werden kann 
auch, dass anlässlich eines konkreten 
Konfliktes die Pflicht auferlegt wird, 
eine externe, zu veröffentlichende Ex- 
pertise einzuholen. Möglich ist die Re- 
gelung der Pflicht, eine Aufsichtsbehör- 
de oder einen sonstigen unabhängigen 
Moderator mit besonderer fachlicher 
Qualifikation als Schlichter hinzuzie- 
hen. Vorbildfunktion könnte das Modell 
der Einigungsstelle gemäß $ 76 BetrVG 
haben. Initiator für das Verhandeln von 
Vereinbarungen könnte der unten er- 
wähnte Datenschutzbeirat sein (Ss. u. 4). 
Indirekt als Auslöser für Verhandlungen 
und Vereinbarungen können Medienbe- 
richte und Gerichtsurteile wirken. 

Parallel dazu sollte die Regelung zur 
Mitbestimmung auf betrieblicher 
Ebene präzisiert werden. Derzeit sieht 
z.B. $ 87 Abs. 1 Nr. 6 BetrVG bei der 
„Einführung und Anwendung von tech- 
nischen Einrichtungen, die dazu be- 
stimmt sind, das Verhalten und die Leis- 
tung der Arbeitnehmer zu überwachen,“ 
eine Mitbestimmungspflicht nicht nur 
bei einer gezielten Arbeitnehmerüber- 
wachung vor, sondern auch, wenn eine 
technische Einrichtung Verhaltens- und 
Leistungskontrollen ermöglicht. Weitere 
Mitbestimmungstatbestände mit Bezug 


zur IKT finden sich in $ 87 Abs. 1 Nr. 7 
(Gesundheitsschutz) und $ 94 BetrVG 
(Personalfragebögen). 

Soweit auf nationaler oder europä- 
ischer Ebene eine datenschutzrechtli- 
che Zertifizierung von IKT-Produkten 
und -Verfahren vorgesehen ist, so die 
Artt. 42, 43 DSGVO, sollte ihre Auf- 
nahme in Kollektivvereinbarungen ge- 
fördert werden, verbunden mit einer Pri- 
vilegierung von zertifizierten Produkten 
im Rahmen der Einigungsverfahren auf 
überbetrieblicher wie auf Betriebsebene 
(vgl. jetzt schon $ 9a BDSG). 

Einer Schnittstellenregelung bedarf es 
auch in Bezug auf die branchenspezifi- 
schen Verhaltensregeln, die durch die 
Datenschutzaufsicht genehmigt werden 
können ($ 38a BDSG, Art. 27 EG-DSRl, 
Artt. 40, 41 DSGVO). Diese kann z. B. 
darin bestehen, dass die Arbeitnehmer- 
seite in den Genehmigungsprozess der 
Verhaltensregeln einbezogen wird. 

Unabhängig von den oben genannten 
Klagemöglichkeiten im Rahmen über- 
betrieblicher und betrieblicher Konflikte 
sollte auf betrieblicher Ebene für die Be- 
schäftigtenvertretung ein arbeitsrechtli- 
ches Klagerecht gegen die Einführung 
datenschutzrechtlich unzulässiger 
IKT-Verfahren vorgesehen werden. 
Dies wäre eine sinnvolle normen- und 
verfahrenskontrollierende Ergänzung zu 
Art. 80 DSGVO, der u. a. vorsieht, dass 
in individualrechtlichen Datenschutz- 
konflikten Betriebsräte oder Gewerk- 
schaften in Vertretung der Betroffenen 
datenschutzrechtliche Gerichtsverfah- 
ren durchführen können. Offen ist, ob es 
zusätzlich zu der gerichtlichen Entschei- 
dung über Streitigkeiten im Rahmen von 
überbetrieblichen Vereinbarungen für 
Gewerkschaften einer Art Verbandskla- 
gerecht bedarf. Mit einem solchen Kla- 
gerecht könnte auf Seiten der Arbeitge- 
ber die Bereitschaft gesteigert werden, 
den Abschluss von Vereinbarungen zu 
suchen. 

Die Regelung des $ 8 Abs. 3 BetrVG, 
wonach der Betriebsrat „bei der Durch- 
führung seiner Aufgaben nach nähe- 
rer Vereinbarung mit dem Arbeitgeber 
Sachverständige hinzuziehen (kann), 
soweit dies zur ordnungsgemäßen Erfül- 
lung seiner Aufgaben erforderlich ist“, 
sollte im Hinblick auf die datenschutz- 
technische und -rechtliche Bewertung 
präzisiert werden. 
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Die Rolle der Datenschutzaufsichts- 
behörden ($ 38 BDSG, Artt. 51 ff. DS- 
GVO) sollte bereichsspezifischer ausge- 
staltet werden. Es ist vorstellbar, dass die- 
sen als neutralen Stellen eine Mediato- 
renfunktion zwischen Arbeitgebern und 
Arbeitnehmern zugewiesen wird. Das 
bestehende Recht des Betriebsrats, die 
Aufsichtsbehörde einzuschalten, ohne 
sich Illoyalität vorwerfen lassen zu müs- 
sen, sollte explizit normiert werden. Die 
Aufsichtsbehörden benötigen für derarti- 
ge Fragen das Personal und die sonstigen 
Ressourcen, um innerhalb kürzester Zeit 
sprech- und antwortfähig sein. 

Hinsichtlich der Bestellung und Ab- 
berufung von betrieblichen Daten- 
schutzbeauftragten (vgl. Artt. 37 ff. 
DSGVO) sollte der Beschäftigtenver- 
tretung ein Mitbestimmungsrecht ein- 
geräumt werden. 


3 Gebote und Verbote 


Materiell-rechtlich sollte sich das 
Beschäftigtendatenschutzrecht auf As- 
pekte beschränken, in denen ein wesent- 
licher zusätzlicher Regelungsgehalt zu 
den allgemeinen Vorschriften erforder- 
lich und möglich ist. Dies gilt u. a. für 
folgende Themen: 
zusätzliche Freiwilligkeitsanforderun- 
gen bei Einwilligungen, 

Benennung der Fälle, in denen eine 
Einwilligung als Rechtsgrundlage für 
die Datenerhebung, -verarbeitung und 
-nutzung ausgeschlossen wird, 
Ausnahmeregelung von einer grund- 
sätzlichen Verpflichtung zur Trennung 
zwischen privater und dienstlicher 
Datenverarbeitung, 

die Regelung der privaten Nutzung 
von dienstlichen Telekommunikati- 
onseinrichtungen, 

Nutzungsverbote von Kundendaten 
von Mitarbeitenden für Personalzwe- 
cke, 

Verbot von Erhebung, Verarbeitung 
und Nutzung von Beschäftigtenda- 
ten durch den Arbeitgeber, die aus 
betriebsärztlichen Untersuchungen 
stammen. 


Hinsichtlich der Abklärung von Ver- 
stößen gegen arbeitsrechtliche Pflich- 
ten sollte ein gestuftes Verfahren vorge- 
sehen werden, bei dem bei Fehlen eines 
individuellen Verdachtes zur Verdachts- 
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konkretisierung zunächst mit Pseudony- 
men und Gruppenaggregaten gearbeitet 
werden muss. 

Erwogen werden sollte, inwieweit 
eine Regelung zur Benutzung von Be- 
schäftigten-Pseudonymen in der Au- 
ßenkommunikation von Beschäftigten 
möglich und sinnvoll ist. 

Zum Recht über die Personalakte 
sollte klargestellt werden, welchen In- 
halt eine Personalakte haben darf, welche 
Aufbewahrungsfristen gelten, wer Zu- 
griff darauf hat, unter welchen Vorausset- 
zungen Aktenbestandteile (über wahre, 
nachteilige Umstände) zu löschen sind, 
und welche Anforderungen an die digita- 
le Aktenführung zu stellen sind. 

Zum Whistleblowing bedarf es nach 
dem Urteil des Europäischen Gerichtsho- 
fes für Menschenrechte vom 21.07.2011 
einer spezifischen Regelung. Dabei kann 
auf eine Vielzahl von schon vorhandenen 
Vorschlägen zurückgegriffen werden. 

Aus Sicht der Arbeitnehmer kann eine 
Regelung, welche im Beschäftigten- 
bereich eine Konzernprivilegierung 
vorsieht, die an die DSGVO anknüpft 
(Art. 4 Nr. 19) vorteilhaft und sinnvoll 
sein, wenn die Öffnung von Beschäf- 
tigtendaten gegenüber mehreren verant- 
wortlichen Stellen im Konzern durch Si- 
cherungen kompensiert wird und klare 
Verantwortlichkeiten festgelegt werden. 


4 Politisch bestimmbare Rahmenbe- 
dingungen 


Eine adäquate Gesetzgebung ist die 
Grundlage für eine Verbesserung des 
Datenschutzes in einer sich immer mehr 
digitalisierenden Arbeitswelt. Das Heil 
des Persönlichkeitsschutzes für Beschäf- 
tigte kann nicht ausschließlich in der 
Gesetzgebung liegen. Vielmehr müssen 
in den Betrieben, Branchenverbänden, 
Gewerkschaften, Beschäftigtenvertre- 
tungen, Aufsichtsbehörden und bei den 
Anbietern von IKT-Lösungen Konzepte 
für einen datenschutzkonformen IKT- 
Einsatz am Arbeitsplatz erforscht, dis- 
kutiert, entwickelt und implementiert 
werden. Hierfür kann als Instrument der 
politischen Planung die Einrichtung ei- 
nes Datenschutzbeirats im Bundesar- 
beitsministerium sinnvoll sein. Dieser 
kann Vorschläge für überbetriebliche 
Vereinbarungen machen oder diese gar 
verbindlich initiieren. 


Bisher erfolgen öffentlich geförderte 
Forschungs- und Entwicklungsan- 
strengungen im Bereich des Daten- 
schutzes zumeist jenseits des betrieb- 
lichen Anwendungsfeldes. Dies muss 
sich angesichts der neuen Herausfor- 
derungen durch Anwendungen in den 
Bereichen Industrie 4.0 und Big Data 
ändern. Bisher laufen Forschungs- und 
Entwicklungsarbeiten auf Initiative von 
IKT-Anbietern und Arbeitgebern ins- 
besondere darauf hinaus, die Beschäf- 
tigtenüberwachung zu perfektionieren. 
Dem sind Anstrengungen für ein Mehr 
an Persönlichkeitsschutz entgegenzuset- 
zen, die staatlich gefördert werden. 


5 Abschließende Bemerkungen 


IKT hat große positive Auswirkungen 
auf die Arbeitswelt. Sie führt zu Produk- 
tivitätssteigerungen und kann, sinnvoll 
eingesetzt, dazu beitragen, den Arbeit- 
nehmern ihre Tätigkeit zu erleichtern, sie 
zu qualifizieren und ihren Arbeitsplatz 
zu sichern. Der Einsatz von IKT kann zu 
einer erhöhten Zufriedenheit bei den Be- 
schäftigten führen, etwa, wenn Kreativität 
gefördert wird, die Arbeitsleistungen bes- 
ser sichtbar werden oder spielerische und 
Team-Elemente bei der Arbeit einfließen. 
Arbeitnehmervertretungen sollten deshalb 
die Einführung derartiger Systeme grund- 
sätzlich fördern und fordern. 

Es sollte jedoch allen Seiten, auch den 
Arbeitnehmervertretungen und den Be- 
schäftigten, vermittelt werden, dass die 
Attraktivität von IKT-Systemen eine per- 
sönlichkeitsgefährdende Kehrseite hat. 
Arbeitgeber betonen gerne die mit IKT 
verbundenen Verbesserungen für ihre 
Beschäftigten, verschweigen jedoch die 
damit verbundenen zusätzlichen Überwa- 
chungs- und Kontrollmöglichkeiten. Diese 
Möglichkeiten sind jedoch oft der eigent- 
liche Grund für die Einführung bestimm- 
ter Systeme. Ein solcher Einsatz führt zu 
einer schleichenden Entmündigung der 
Betroffenen. Diese ist nicht nur persönlich 
eine Gefahr für die Betroffenen, sondern 
auch für jede demokratische Gesellschaft, 
deren Grundlage mündige, meinungs- 
freudige und kreative Menschen sind. 
Der Persönlichkeitsschutz von Beschäf- 
tigten sollte daher letztlich das ureigene 
Interesse der Unternehmensleitungen sein. 
In einem Klima der Überwachung und der 
Kontrolle werden Kreativität, Motivation 
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und Produktivität beeinträchtigt, die aber 
andererseits Voraussetzung für wirtschaft- 


lichen Erfolg sind. 
Deshalb sollte und kann das Anliegen 
eines modernen Beschäftigtendaten- 


schutzes nicht länger durch sehr allge- 
mein gehaltene Regelungen erfüllt und 
die Auslegung den Arbeitsgerichten über- 


Monika Heim 


Persönlichkeitsrechte werden nicht 


lassen werden. Es muss — insbesondere 
nachdem Europa den Rahmen gesteckt 
hat — auch ein Anliegen des nationalen 
Gesetzgebers sowie der Vertretungen von 
Beschäftigten und Arbeitgebern sein. Der 
Deutsche Gewerkschaftsbund (DGB) 
hat, nachdem über den Text der DSGVO 
Einvernehmen erzielt worden war, sig- 


am Werkstor abgegeben! 


Überlegungen einer Betriebsrätin zu einem wirkungsvollen Beschäftigtendaten- 


schutzgesetz 


Beschäftigtendatenschutz — eine never 
ending story. In den vergangenen Jahren, 
wurde das Thema von den unterschied- 
lichsten Regierungskoalitionen aufge- 
griffen, zuletzt Anfang 2013. Es wurde 
geredet, festgestellt, dass unbedingt eine 
gesetzliche Regelung notwendig sei, 
manche Entwürfe wurden erstellt, alle 
wurden letztendlich verworfen — zum 
Glück, möchte man sagen. 

Aus meiner Sicht waren die Entwürfe 
der jeweiligen Regierungsparteien zum 
Nachteil der Beschäftigten. Die Wün- 
sche der Arbeitgeber waren stets höher 
gewichtet, ein Ausgleich fand meist nur 
sehr bedingt statt. 

Videoüberwachung zum Beispiel wur- 
de immer als notwendige Maßnahme ak- 
zeptiert. Der Schutz des Eigentums wog 
gegenüber dem Persönlichkeitsrecht der 
Beschäftigten immer schwerer. 

Sehr auffällig war vor allem eines: 
Die Betroffenen wurden nicht befragt. 
Juristen, insbesondere aus den Reihen 
der Politik und Spitzenfunktionäre der 
Arbeitgeberverbände unterhielten sich 
darüber, was im Beschäftigtenverhältnis 
an Überwachung zumutbar sei und was 
nicht. Wenige GewerkschafterInnen und 
noch weniger BetriebsrätInnen wurden 
in die Überlegungen einbezogen, auch 
Ideen von DatenschützerInnen fanden 
merkwürdigerweise nur wenig Resonanz 
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(wenngleich wir uns 2013 beim letzten 
Versuch einer Regierung, ein Beschäftig- 
tendatenschutzgesetz auf den Weg zu brin- 
gen, auch ungefragt massiv einmischten). 


Regelungsinhalte 


Vorausschicken möchte ich eines: Ein 
Unternehmen, ein Chef soll kontrollie- 
ren dürfen, ob seine Beschäftigten die 
geforderte Arbeitsleistung erbringen 
oder ob sie das Unternehmen schädi- 
gen. Den Ansatz allerdings, jedem Be- 
schäftigten generell Betrugsabsicht zu 
unterstellen und dies mit Hilfe moder- 
ner Überwachungsmethoden verhindern 
zu wollen, halte ich für grundsätzlich 
falsch. Kontrolle kann auch stattfinden 
durch Präsenz und Gespräche. Eine 
Führungskraft, die Login-Zeiten kont- 
rolliert statt Arbeitsergebnisse, die Al- 
gorithmen die Beurteilung ihrer Leute 
überlässt, zeigt letztlich nur eines: Füh- 
rungsschwäche. 


Das geht gar nicht! 


e Bewerbung: Fragen nach Schwan- 
gerschaft, Ermittlungsverfahren, Be- 
hinderungen, das Nutzen von Such- 
maschinen oder Erkundigungen beim 
aktuellen oder vorigen Arbeitgeber 

« Einstellung: Bluttests, psychologische 


nalisiert, dass er die Ausarbeitung eines 
nationalen Beschäftigtendatenschutzge- 
setzes fordert und dass er sich an des- 
sen Ausarbeitung konstruktiv beteiligen 
will. Die Diskussion über ein modernes 
Beschäftigtendatenschutzgesetz muss 
heute und mit hoher Priorität geführt und 
zu einem Erfolg gebracht werden. 


Test, ärztliche Untersuchungen, wenn 
das Stellenprofil dies nicht zwingend 
erfordert 

Anlasslose Screenings (Deutsche 
Bahn, Telekom), Massenscreenings 
aus vorgeblichen Compliance-Grün- 
den, Verwendung von Zufallsfunden 
anderer Art bei begründeten Scree- 
nings 

Einsatz von IT-gestützten Überwa- 
chungsmaßnahmen bei nur vermute- 
tem Fehlverhalten einer Beschäftig- 
ten, besonders in Bezug auf Bagatell- 
delikte 

Heimliche Überwachung, generelle 
offene Videoüberwachung 
Allgemeine Persönlichkeitsprofile 
Aufzeichnung von Telefongesprächen 
ohne festgeschriebene Löschfristen 
Ein Konzernprivileg, insbesondere 
dann, wenn sich Konzernteile außer- 
halb der Europäischen Union befinden 
Struktur und Sprache wie im letzten 
Entwurf von 2013, die auch Juristen 
verzweifeln ließen 


Ein  Beschäftigtendatenschutzgesetz 
muss als Prämisse haben, die Persön- 
lichkeitsrechte von Beschäftigten zu 
wahren. Was braucht es dazu? 


° Wer nicht hören will, muss zahlen! 
Festgeschrieben werden muss vor al- 
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lem eines: Ein Beweisverwertungs- 
verbot von unrechtmäßig erhobenen 
Daten verbunden mit einer empfind- 
lichen Geldstrafe. Verstöße gegen den 
Datenschutz müssen wehtun. 

Es kann nur einen geben!? 

Besonders in großen Betrieben leiden 
betriebliche Datenschutzbeauftragte 
(bDSB) unter einer hohen Arbeitsbe- 
lastung. Zudem kennen sie sich mit 
den Abläufen oft nicht in der erforder- 
lichen Detailtiefe aus. Die Bestellung 
von geschulten „Datenschutzkoordi- 
natorInnen“ in größeren oder beson- 
ders sensiblen Bereichen wie etwa 
Personalverwaltung oder Betriebsrat, 
die dem bDSB zuarbeiten, sorgt dafür, 
dass Vorabkontrollen und Prüfungen 
kenntnisreicher und effektiver ablau- 
fen. Als Beispiel mag hier die Funk- 
tion der Sicherheitsbeauftragten aus 
den Arbeitsschutzgesetzen dienen. 
Nein! 

Betriebliche Datenschutzbeauftragte 
müssen ein Vetorecht haben, das sich 
im Zweifel auch gerichtlich durchset- 
zen lässt. Das ist besonders in Betrie- 
ben wichtig, wo kein Betriebsrat bei 
Verstößen gegen das Beschäftigtenda- 
tenschutzgesetz Klage beim Arbeits- 
gericht erheben kann. 

Gesamtschau / „Technologiefolgen- 
abschätzung“ 

Das Unternehmen muss gemeinsam 
mit dem bDSB und - falls vorhan- 
den — dem Betriebsrat regelmäßig die 
Summe aller eingesetzten Verfahren, 
die mittelbar oder unmittelbar der 
Leistungs- und Verhaltenskontrolle 
dienen können, prüfen. Die Prüfung 
auf eine einzelne Kamera zum Bei- 
spiel mag ergeben, dass deren Einsatz 
notwendig und sinnvoll scheint. Sind 
allerdings schon viele Kameras in un- 
terschiedlichen Bereichen (jede ein- 
zeln betrachtet sinnvoll und notwen- 
dig) im Einsatz, mag sich ein anderes 
Bild ergeben. 

Pflicht zu Schulungen 

Nicht nur der bDSB soll sich regel- 
mäßig fortbilden, auch für die Be- 
schäftigten, ganz besonders für die 
Führungskräfte aller Ebenen, halte 
ich Pflichtschulungen, die regelmäßig 
wiederholt werden, für notwendig. 
Manches Mal, so meine Erfahrung, 
kommt der Wunsch nach Überwa- 
chung auch aus den Reihen der Kol- 
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legInnen. Sensibilisierung hier kann 
auch zu einem besseren Verständnis 
von Datenschutz allgemein führen. 
Zwingende Konsultation des Be- 
triebsrates 

Datenschutzbeauftragte sollen prüfen, 
ob ein Verfahren Leistungs- und Ver- 
haltenskontrolle ermöglicht. Mitunter 
gibt es zu diesem Punkt unterschied- 
liche Sichtweisen (immerhin wird ein 
bDSB vom Unternehmen bestellt und 
kann aus Sicht eines Betriebsrates auf 
der Unternehmerseite stehen). Inso- 
fern sollte ein Verfahren erst dann als 
erlaubt gelten, wenn sowohl bDSB als 
auch Betriebsrat ihre Zustimmung ge- 
geben haben. Das Recht des Betriebs- 
rates ergibt sich zwar schon aus dem 
Betriebsverfassungsgesetz, gut wäre 
aber ein entsprechender Passus auch 
im Beschäftigtendatenschutzgesetz. 
Ausweitung und Sicherstellung der 
personellen Kapazitäten in den Daten- 
schutzbehörden 

Die Aufsichtsbehörden sind chronisch 
unterbesetzt und können ihren Kon- 
trollpflichten nur schwer nachkom- 
men. Wünschenswert ist daher, dass 
in einem Beschäftigtendatenschutz- 
gesetz auch diesem Aspekt Rechnung 
getragen wird. 

Privacy by Design 

Bevorzugung von Software, die (Be- 
schäftigten-)Datenschutz bereits ein- 
gebaut hat. Bisher ist es ja häufig so, 
dass eine Software mehr kann als ur- 
sprünglich benötigt wird. Vor allem 
Standardsoftware soll vielen Einsatz- 
szenarien gerecht werden können. 
Meist wird das Programm erst nach 
der Installation mit Rollen und Be- 
rechtigungen versehen. Es ist alles 
erlaubt und wird erst später Schritt 
für Schritt eingeschränkt. Das bringt 
manchen Arbeitgeber erst auf die 
Idee, man könnte doch... 

Freiwillige Transparenz und Aus- 
kunftspflicht zu erhobenen und ge- 
speicherten Daten, ebenso zu den 
verwendeten Verfahren, insbesondere 
dann, wenn staatliche Stellen Aus- 
künfte über den / die Beschäftigte 
nachfragen. 

Recht auf Verschlüsselungstechniken 
auch im innerbetrieblichen Mailver- 
kehr 

Pflicht zum verschlüsselten Daten- 
transfer zwischen Betrieb und exter- 


nen Empfängern. Besonderer Schutz 
bei der elektronischen Kommunika- 
tion rings um Finanzen, Gesundheit, 
Versicherungen, etc. 
Beschwerdemöglichkeiten für 
schäftigte 

In aller Regel sind Beschäftigte ver- 
pflichtet, ihre Beschwerden intern zu 
melden. Dafür gibt es den Betriebsrat, 
das Personalwesen, den bDDSB und 
vielleicht eine Compliance-Stelle. 
Was aber, wenn den Beschwerden dort 
nicht nachgegangen wird? Im Gesetz 
sollte daher das Recht auf Beschwer- 
de ohne Nachteile außerhalb der eige- 
nen Firma festgeschrieben sein. 


Be- 


Zusätzlich zu Regelungen der weiter 

oben angesprochenen Punkte 

° Regelung zu Kontrolle der elektroni- 
schen Personalakten 

° Regelungen zu Cloud-Diensten, Big 
Data, Festschreibung eines persönli- 
ches Rechts auf Verarbeitung im euro- 
päischen Raum 

« Eine Formulierung, die auch zukünf- 
tige Technologien mit einschließt und 
dem Schutzgedanken Rechnung trägt. 


Alles nur Träume? 


Ihnen mögen diese Überlegungen 
utopisch, als ein „Wünsch Dir was“ er- 
scheinen, fernab jeglicher Realität. 

Nun, es wird tatsächlich schwierig 
zu verhandeln und durchzusetzen sein. 
Legen wir aber einen Entwurf vor, der 
bereits Arbeitgeberinteressen berück- 
sichtigt, so wird unweigerlich ein Kom- 
promiss eines Kompromisses gefunden. 
Die politischen Abstimmungsprozesse 
der Vergangenheit zum Beschäftigten- 
datenschutz belegen dies eindrucksvoll. 

In der Abwägung zwischen wirt- 
schaftlichen Interessen und Persönlich- 
keitsrechten der Beschäftigten muss der 
Mensch Vorrang haben - kompromisslos. 

Wir haben 2013 gelernt, dass Protes- 
te wirksam und erfolgreich sein kön- 
nen. Wichtig wird sein, dass unsere 
politischen Bündnispartner uns schnell 
alarmieren, sobald der erste Entwurf 
bekannt wird. Auch die Gewerkschaf- 
ten sind in der Pflicht zu informieren, 
denn sie werden im Rahmen von Kon- 
sultationen ebenfalls relativ früh in das 
Gesetzgebungsverfahren eingebunden. 
Es sollen nicht nur unsere Funktionäre 
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mitreden dürfen, sondern auch wir Be- 
schäftigte und Betriebsräte. Schließlich 
sind wir die Betroffenen. 

(Wirksamer Beschäftigtendatenschutz 
könnte ja auch zu einer Tarifforderung 
erhoben werden...) 


Lothar Schröder 


Aktive, an Datenschutz allgemein 
und dem Beschäftigtendatenschutz im 
Besonderen interessierte Menschen 
können gemeinsam mit unseren Inter- 
essensvertretern in Betrieben, Gewerk- 
schaften, Datenschutzverbänden, Politik 


und der Zivilgesellschaft ein Beschäf- 
tigtendatenschutzgesetz erwirken, das 
seinen Namen zu Recht trägt. 


Packen wir’s an. 


Zur Statik des Beschäftigtendatenschutzes 


Elisha Graves Otis wird nachgesagt 
1856 in den Vereinigten Staaten den Auf- 
zug erfunden zu haben. Seinen Namen 
lesen wir als Firmenbezeichnung heute 
noch in vielen Aufzügen, auch hierzulan- 
de. Was hat er getan? Er hat Hebebühnen, 
Motoren, Stahlseile und Metallkonstruk- 
tionen zusammengefügt - all dies gab es 
vorher schon. Seine Neukombination er- 
laubte es viel höher zu bauen, herkömm- 
liche Dimensionen wurden entgrenzt. 
Das hat unsere Architektur weltweit und 
schließlich auch unser urbanes Leben 
gravierend verändert. 

Heute kombiniert die Digitalisierung 
jene Elemente neu, aus denen unsere 
Arbeitswelt gebaut ist. Herkömmliche 
Bindung in Ort und Zeit wird entgrenzt. 
Es entsteht eine neue Architektur für 
die Arbeit der Zukunft. Darüber besteht 
Anlass festzulegen, welche Statik diese 
Arbeitswelt haben soll und auf welche 
Fundamente wir den Schutz der Per- 
sönlichkeitsrechte der darin arbeitenden 
Menschen künftig bauen wollen. 

Den Schutz der Persönlichkeitsrech- 
te im Betrieb den vermeintlichen Wirt- 
schaftsvorteilen der heutigen Grenzenlo- 
sigkeit zu opfern und Schutzvorschriften 
zu deregulieren wäre reichlich kurzsich- 
tig. Genauso hätte die Architektenkam- 
mer des Staates New York im Jahr 1856 
gehandelt, wenn sie damals festgestellt 
hätte: Jetzt, da man sehr viel höher bau- 
en kann, gilt es Bauvorschriften zu de- 
regulieren, feuerpolizeiliche Auflagen 
abzuschaffen, den Statikern ihre Rolle 
abzusprechen und auf Sicherheit am Bau 
zu verzichten. Wäre einem derart imagi- 
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nären Aufruf gefolgt worden, sähen Man- 
hattan und andere Großstädte heute wohl 
anders aus. 

Weil die Architektur der Arbeitswelt 
sich ändert und sich wohl in Zukunft noch 
dynamischer und gravierender ändern 
wird, brauchen wir Sicherheitsvorschrif- 
ten und Gewährleistungsinstrumente für 
den Schutz der Beschäftigtendaten. Ein 
Beschäftigungsdatenschutzgesetz muss 
— im übertragenen Sinne — die grundle- 
gende Bauvorschrift für den Schutz der 
Persönlichkeitsrechte werden. Auch ein 
Blick in die jüngere Historie macht deut- 
lich, dass ein derartiges Werk für den 
Schutz von Beschäftigtendaten längst 
überfällig ist. 

Die Datenschutzbeauftragten des Bun- 
des und der Länder fordern schon seit 
1984 spezifische und präzise gesetzliche 
Bestimmungen zum Arbeitnehmerdaten- 
schutz. In ihrer 43. Konferenz haben sie 
1992 die Politik an dieses Anliegen er- 
innert und Normen gefordert, die schon 
damals weitsichtig waren. Es ging ihnen 
darum, die Erstellung von Persönlich- 
keitsprofilen für unzulässig zu erklären, 
Personalauswahlentscheidungen nicht 
allein auf Informationen zu stützen, die 
unmittelbar durch Datenverarbeitung ge- 
wonnen werden und Datenübermittlung 
ins Ausland nur dort zuzulassen, wo ein 
dem deutschen Recht vergleichbarer Da- 
tenschutzstandard gewährleistet ist. 

Nun schafft die europäische Daten- 
schutzgrundverordnung einen Rechts- 
rahmen, der einheitliche Bedingungen 
für den Datenschutz in den Ländern der 
europäischen Gemeinschaft schafft. Ge- 


rade im Beschäftigtendatenschutz lässt 
der Paragraph 88 aber spezifische na- 
tionale Regelungen zu und geht sogar 
soweit, kollektive Normen über Tarif- 
verträge und Betriebsvereinbarungen als 
Spezialregelungen zu unterstützen. Wer 
also seit 1984 darauf gewartet hat, dass 
ein umfassendes und feinziseliertes Da- 
tenschutzrecht alle Fragen, die sich zum 
Schutz der Persönlichkeitsrechte im Be- 
trieb gestellt haben, ein für alle Mal mög- 
lichst europaweit einheitlich beantwortet, 
muss enttäuscht sein. Weitere Gestal- 
tungsanstrengungen sind notwendig und 
sie müssen sich Bedingungen annehmen, 
die sich seit dem Orwell-Jahr verändert 
haben. 

Zu der Zeit, als der erste Ruf nach ei- 
nem Beschäftigtendatenschutzgesetz 
entstand, machten Betriebsräte schon Er- 
fahrungen mit der Ausgestaltung des Pa- 
ragraphen 87 Abs. 1 Nr. 6, einer Rechts- 
vorschrift, die Mitbestimmung bei der 
Einführung und Anwendung technischer 
Einrichtungen gibt, die eine Leistungs- 
und Verhaltenskontrolle bei den Beschäf- 
tigten ermöglichen. Damals begegnete 
uns der Computer noch als Automat, in 
Form von Stechuhren und lochkartenge- 
steuerter Großrechnersysteme. Der Com- 
puter wurde in den 80ern zum Werkzeug, 
als die PCs auf den Schreibtischen ihren 
Platz fanden. Gleichzeitig verbreiteten 
sich ergebnisorientierte Arbeitsformen 
und verbreitete sich die Kennzahlen- 
steuerung in den Betrieben immer mehr. 
Längst sind Rechner zum Medium ge- 
worden. Mit Laptops und Smartphones 
ausgerüstet arbeiten wir in Zügen, auf 
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Flughäfen und überall dort, wo ein ak- 
zeptabler Netzzugang existiert. Heute 
erscheinen uns Rechnersysteme als Platt- 
formen, die Arbeit vermitteln und eine 
digitale Reputation abverlangen. Wir tra- 
gen Smartphones und Wearables ständig 
bei uns und das allgegenwärtige maschi- 
nelle Wirken erzeugt Datenschatten, oft 
ohne unser Zutun und Wissen. Daneben 
ist der Rechner dabei, zum Propheten zu 
mutieren. Aus den Daten der Gegenwart 
und der Vergangenheit, auch der Berufs- 
tätigen, können Prognosen über das Ver- 
halten in der Zukunft ableitet werden. 
BigData ist der Sammelbegriff für eine 
analytische Datenauswertung, die sich in 
Dimension, Geschwindigkeit und Um- 
fang des Datenzugriffs von herkömmli- 
chen Möglichkeiten unterscheidet. 

Das trifft auf eine veränderte Wahrneh- 
mung in unserer Gesellschaft. Datenaus- 
wertungen haben den Ruf des Objektiven 
erobert. Was zählbar ist, zählt und ge- 
zählt wird, was sich rechnet. Betriebsräte 
kennen längst die Auswirkungen einer 
Totalisierung des Zählbaren. Benchmar- 
kingsysteme haben über die Zeit in die 
Betriebe Einzug gehalten. Sie vermitteln 
vermeintliche Objektivität und meistens 
Anpassungsdruck, im ungünstigsten Fall 
bis zum Individuum. 

In der herkömmlichen Arbeitswelt fan- 
den Hierarchiekonflikte um Zeit, Raum 
der Arbeitsverrichtung und um Entloh- 
nungsbedingungen statt. In der Zukunft 
werden Herrschaftskonflikte auch um 
Daten geführt werden. Nicht alles Zähl- 
bare muss gezählt, nicht alles Digitali- 
sierbare muss digitalisiert, nicht alles 
Durchschaubare muss transparent ge- 
macht werden. Die Digitalisierung kann 
zwar dabei helfen unsere Arbeitswelt 
intelligenter zu machen, sie wirkt aber 
nicht per se humanisierend. Und auf alle 
Fälle stellt sie neue Herausforderungen 
für den Schutz der Persönlichkeitsrechte. 

Datenschützer stellen seit jeher den 
Schutz der Person und seiner Rechte — 
die Persönlichkeitsrechte — in den Mit- 
telpunkt ihres Wirkens. Persönlichkeiten 
drücken sich aber nicht allein in der Fülle 
der über sie verfügbaren, ökonomischen 
Daten aus. Der Mensch hat Glaube, 
Mitgefühl, Intuition, Scham, Verantwor- 
tungsbewusstsein, Launen, Ideologie 
und Unzulänglichkeiten — das macht den 
Menschen aus. All das ist mehr, als eine 
Kenngröße in einem Performancebench- 
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mark. Digitale Reputationen können den 
Menschen in seinem Wesen nicht ange- 
messen abbilden und Algorithmen erlau- 
ben deswegen keine Entscheidungen auf 
Basis vollständiger Information. Ihnen 
fehlt auch ein wesentliches Element des 
Menschen, dessen Bewusstsein mit ei- 
nem Gefühl für Recht und Unrecht. So 
wenig wie ein Bruttosozialprodukt er- 
schöpfend den Wohlstand eines Landes 
beschreiben kann, so wenig kann die 
Masse von Kennziffern in den Betrieben 
universell über das Menschliche Aus- 
kunft geben und der Vielfalt unterschied- 
licher Persönlichkeiten gerecht werden. 
Gleichzeitig betont unsere Gesellschaft, 
dass die Wirtschaft den Menschen zu 
dienen habe und nicht umgekehrt und 
belohnt gleichwohl das Datensammeln 
als Geschäftszweck an sich. Innerhalb 
kürzester Zeit sind mit Firmen wie Goog- 
le, Facebook und mit den Applikationen 
wie WhatsApp, Airbnb und Über Daten- 
oligarchien mit gewaltigem Marktwert 
entstanden, die hinsichtlich der Persön- 
lichkeitsrechte ein offensichtlich anderes 
Menschenbild haben, als jenes, das hand- 
lungsleitend für deutsche Datenschützer 
über Jahrzehnte hinweg war. Trotzdem 
nutzen wir die Angebote, wir sind heute 
Teil des Problems. Unser Kundeninter- 
esse ringt mit dem Interesse die Persön- 
lichkeitsrechte zu schützen. Der Kunde 
in uns will wissen, wo sich das Paket 
gerade befindet, der Beschäftigte in uns 
verwahrt sich gegen Tracking-Systeme. 
Erst Skandale rütteln auf und der 
Schutz unserer Daten wird uns wichtiger. 
Unsere Gesellschaft geht mit den Persön- 
lichkeitsrechten um, wie viele von uns 
mit der eigenen Gesundheit: Erst wenn 
sie nicht mehr vorhanden ist, merken 
wir, wie wichtig sie ist und versprechen 
uns künftig sorgfältiger mit uns selbst 
umzugehen. Beim Datenschutz machen 
die großen Missbrauchsfälle deutlich, 
was der Schutz der Persönlichkeitsrechte 
ausmacht. Wir erinnern uns an das Scree- 
ning bei der Bahn, die Bespitzelung bei 
der Telekom, um Videoüberwachung bei 
LIDL, Detektiveinsätze bei Schlecker, 
Krankendatensammlung bei der Post, 
die Entrüstung um die Bespitzelungs- 
produkte diverser Spitzelsoftwareanbie- 
ter. Diesen Ereignissen gemeinsam ist 
ein öffentliches Aufbegehren mit einer 
kurzen Halbwertszeit, das sich selten in 
konkrete kontinuierliche Gestaltungsar- 


beit übersetzt hat. Solche Anstrengun- 
gen begründen sich aber schon aus dem 
Alltäglichen, dem Unskandalösen, dem 
Nachlesbaren. 

„Ohne Internet wäre es richtig schwer 
gewesen, jemanden zu finden, 10 Minu- 
ten für sich arbeiten zu lassen und dann 
zu feuern. Aber jetzt mit der Technolo- 
gie findet man sie, zahlt ihnen winzige 
Geldbeträge und wird sie los, wenn man 
sie nicht mehr braucht.“ Mit diesem Zi- 
tat beschreibt Lukas Biewald, der Vor- 
standsvorsitzende von Croudflower die 
Möglichkeit des Croudsourcing. Darin 
wird deutlich, wie wenig sich manche 
Protagonisten einer veränderten Arbeits- 
welt der sozialen Verantwortung stellen. 
Wir sollten nicht annehmen, dass derar- 
tige Entscheidungsträger mit dem Schutz 
der Persönlichkeitsrechte rücksichtsvol- 
ler sind und wir sollten nicht glauben, 
dass eine digitale Reputation, die den 
Crowdsourcees abverlangt wird, ohne 
Sogwirkung für herkömmliche Beschäf- 
tigte bleibt. Längst vermischt sich im Er- 
werbsleben Privates und Berufliches. Die 
Grenzlinie zwischen Arbeit und Freizeit 
erodiert. Da wird schon mal der Wunsch 
eines Arbeitnehmers auf Einrichtung ei- 
nes Telearbeitsplatzes arbeitgeberseitig 
abgelehnt, weil für den Arbeitgeber die 
Urlaubsbilder des Beschäftigten nicht 
auf Einschränkungen in dessen Mobilität 
hindeuten. Da wird natürlich der Bewer- 
ber gegoogelt, obgleich das Netz auch 
Datensammlungen zu Tage fördert, die 
nicht beim Betroffenen erhoben wurden. 

Ein Ungleichgewicht hat sich jedoch 
über die Jahrzehnte hinweg nicht ver- 
ändert. Die Arbeitnehmer stehen im Be- 
schäftigungsverhältnis den Arbeitgebern 
als die tendenziell Schwächeren gegen- 
über. Deswegen darf ihnen auch keine 
universelle Einwilligung zur jedweden 
Datenerhebung abverlangt werden. In 
diesen und anderen Fragen braucht die 
europäische Datenschutzgrundverord- 
nung eine spezifische Ausgestaltung, die 
dem Wesen des deutschen Arbeitsrechts 
in unserer Kultur gerecht wird. Einwilli- 
gungen müssen begrenzt und nur befris- 
tet gültig sein. Wir bräuchten ein System 
von Verfallsdatum und Gütesiegel für gu- 
ten Datenschutz, dies hat bereits die En- 
quete-Kommission „Internet und digitale 
Gesellschaft“ empfohlen. In einem Min- 
derheitenvotum wurden zahlreiche An- 
liegen der Gewerkschaften zum Arbeits- 
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nehmerdatenschutz aufgegriffen. Gefor- 
dert wird hiernach ein eigenständiger, 
gesetzlicher Rahmen, der die Persönlich- 
keitsrechte von Berufstätigen schützt. Es 
geht darum, Generaleinwilligungen zur 
Datenerhebung und -nutzung zu verbie- 
ten, anlasslose Beobachtung und Über- 
wachung einzugrenzen, Kunden- von 
Beschäftigtendaten zu trennen und die 
Position der betrieblichen Datenschutz- 
beauftragten zu stärken. Gewerkschaften 
sind sich mit den Oppositionsparteien 
im Bundestag einig, dass die Mitbestim- 
mungsrechte gestärkt werden müssen, 
um in den Betrieben auf einer zeitgemä- 
Ben Statik für die veränderte Architektur 
der Arbeitswelt aufbauen zu können. 

Dort geht es längst nicht mehr nur um 
Leistungs-- oder Verhaltenskontrollen 
durch betriebliche Systeme. Es geht um 
private Vorlieben, Kontakte, Leidenschaf- 
ten und Einstellungen von Beschäftigten, 
die über eine Netzrecherche zu Tage geför- 
dert werden können. Mit einem umfassen- 
den Mitbestimmungsrecht zum Schutz der 
Persönlichkeitsrechte müssen Betriebsräte 
die betriebliche Nutzung derartiger Infor- 
mationen reglementieren können. Die Op- 
positionsparteien machten darüber hinaus 
in der Enquete-Kommission deutlich: Wir 
brauchen einen Immunitätsschutz für Be- 
triebs- und Aufsichtsräte ebenso wie ein 
Verbandsklagerecht und wirksame Sankti- 
onsklauseln, die jene Betriebe treffen, die 
Persönlichkeitsrechte verletzten. Für die 
im Deutschen Gewerkschaftsbund zusam- 
mengeschlossenen Gewerkschaften ist 
es darüber hinaus notwendig Beweisver- 
wertungsverbote für unzulässig erhobene 
Daten gesetzlich zu normieren und ein Re- 
glement für Screenings und biometrische 
Kontrollen zu schaffen. Das Fragerecht 
der Arbeitgeber bei Einstellungen soll 
ebenso begrenzt werden, wie die Datener- 
hebung mittels ärztlicher Untersuchungen 
von Nachwuchskräften. 

Nach mehr als 30 Jahren ohne Beschäf- 
tigtendatenschutzgesetz und angesichts 
der Rasanz der gegenwärtigen Entwick- 
lung ist jedoch kritisch danach zu fragen: 
Lässt sich heute mit einem Beschäftig- 
tendatenschutzgesetz ein Regelwerk 
schaffen, das dauerhaft alle Aspekte der 
Bedrohung von Persönlichkeitsrechten 
minimiert? 

Viele Kommentatoren der Digitalisie- 
rung verbinden Prognosen zur weiteren 
Entwicklung mit den Begriffen „expo- 
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nentielle Wirkung“, „Neukombinatorik“, 
„Prozessmusterwechsel“ und „Disrup- 
tion“. Wenn sich die Dynamik und die 
Dimension der Digitalisierung tatsäch- 
lich nur zum Teil entlang dieser Bezeich- 
nungen entwickelt, braucht der Schutz 
der Persönlichkeitsrechte Mechanismen, 
die die gesetzgeberische Grundlage flan- 
kieren. Die grundlegenden Architektur- 
vorschriften für die Digitalisierung der 
Arbeitswelt brauchen Garantensysteme 
und Reaktionsmechanismen, die der Ver- 
änderung Rechnung tragen: 


1.Die Deutsche Bahn und die Deutsche 
Telekom haben aus ihren Datenschutz- 
skandalen Konsequenzen gezogen. Sie 
haben jeweils einen Datenschutzbeirat 
eingerichtet, der das Datenschutzver- 
halten der Unternehmen kritisch be- 
gleitet. Die Datenschutzexperten im 
Beirat der Telekom beraten das Unter- 
nehmen bei neuen Produktlinien, der 
Datenschutzorganisation aber auch zu 
ethischen Prinzipien für den Schutz 
der Persönlichkeitsrechte. Ein ent- 
sprechender Datenschutzbeirat beim 
Bundesarbeitsministerrum könnte da- 
bei helfen, den Gesetzgeber zu den 
dynamischen Veränderungen in Tech- 
nik und Wirtschaft auf der Höhe der 
Zeit zu beraten, spezifische deutsche 
Rechtsnormen empfehlen, gute Ge- 
staltungsbeispiele der Arbeitswelt der 
Zukunft zum Austausch bringen und 
in ministeriellem Auftrag öffentlich 
bekanntgewordenen Datenschutzver- 
stößen nachgehen. 


2.In den 90er Jahren hat die Deutsche 
Postgewerkschaft ein bemerkenswer- 
tes Datenschutzprojekt durchgeführt. 
Experten aus verschiedenen gesell- 
schaftlichen Gruppen arbeiteten daran 
mit quid! zu entwickeln. Quid! steht 
für „Qualität im Datenschutz“ und 
war als Qualitätszeichen für gutes be- 
triebliches Verhalten im Datenschutz 
gedacht. Der Dialog verschiedener 
Interessengruppen war damals erfolg- 
reich und ist heute notwendiger denn 
je. Ein Indikatorenmodell für Arbeit- 
nehmerdatenschutz wird heute drin- 
gend benötigt. 


Wenn Betriebe nach Benchmarks ge- 
steuert werden, sollten Benchmark- 
systeme für Arbeitnehmerdatenschutz 


gefördert werden. Wenn es der DGB 
Index Gute Arbeit geschafft hat, sich 
zum landesweit anerkannten Indikato- 
renmodell zum Thema „Gute Arbeit“ 
zu entwickeln, dann müsste es möglich 
sein, ein entsprechendes Modell für 
Arbeitnehmerdatenschutz zu schaf- 
fen. Ein Indikatorenmodell kann das 
betriebliche Verhalten im Arbeitneh- 
merdatenschutz unterschiedlicher Be- 
triebsteile aber unterschiedlicher Bran- 
chen vergleichen, Handlungsbedarfe 
in Teilaspekten erkennbar machen und 
für die Gestaltungsarbeit im Betrieb 
eine übergreifende Vergleichsbasis 
verschaffen. 


3.Daneben sollten wir darüber nach- 
denken, mit welchen Mechanismen 
wir den Glauben erschüttern können, 
dass alles, was in Daten ausgedrückt 
ist, auch den Ruf der Objektivität 
und Unfehlbarkeit verdient. Maschi- 
nen werden von Menschen program- 
miert und die sind ebenso fehlbar, 
wie Algorithmen selbst die Realität 
verzerren können. Um Leben und 
Gesundheit zu schützen werden Her- 
steller von Produkten in Deutschland 
mit Produkthaftung in die Pflicht ge- 
nommen - sie haften im Falle von 
fehlerhaften Erzeugnissen gegenüber 
dem Nutzer für Schäden, die durch 
die Produkte entstehen. Wir sollten 
darüber nachdenken, ob wir Big- 
Data-Auswertungen nicht ebenfalls 
als Produkte betrachten, für die deren 
Erzeuger im Schadensfall zu haften 
haben. Dieses Recht könnte uns et- 
was dabei helfen, Verantwortung dort 
zu manifestieren, wo Ertrag aus Da- 
ten entsteht, die oft für ganze andere 
Zwecke erhoben wurden. 


4.Mit etwas Schmunzeln sei abschlie- 
Bend angeregt, in deutschen Betrieben 
Datenauswertungen die entscheidend 
die Arbeitsbedingungen prägen sollen, 
nur noch mit einem Disclaimer zuzu- 
lassen, der den Mechanismus aufgreift, 
den wir längst von der Medikamen- 
tenwerbung kennen. Danach dürften 
Benchmarks nur verpowerpointet wer- 
den, wenn auf ihnen zugleich steht: 
„Zu Risiken und Nebenwirkungen 
lesen Sie den Programmcode und fra- 
gen Sie Ihre Datenanalytiker oder Pro- 
grammierer.“ 
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Neil Watkins 


Transatlantic Compliance: Understanding today’s 


picture and best practice next steps 


A complicated picture just got more 
complex. The transatlantic transfer of 
personal data between the European 
Union and the United States is now 
governed by new data privacy compli- 
ance obligations following an October 
2015 ruling that invalidated the previ- 
ous Safe Harbour privacy accord. This 
applies to personal data, including 
employee data, collected in the EU 
by a branch or a business partner of 
a United States-based company which 
receives the data and then uses it in 
the United States.! For businesses, this 
means a new set ofrules to learn and a 
new set of standards to adhere to. 


The background to this latest deve- 
lopment can be traced back to 1995 and 
the establishment of the EU Data Pro- 
tection Directive (Directive 95/46/EC). 
This Directive was enacted to balance 
the protections for individuals’ priva- 
cy with the free movement of personal 
data within the European Union. The 
Directive established limits regarding 
the collection and use of personal data 
and required that each Member State 
establish an independent national body 
to supervise activities associated with 
the processing of personal data. 


Among other things, the Directive 
stipulates that personal data may only 
be transferred from a Member State 
to a “third country” (e.g. those out- 
side the EU) if that country provides 
an adequate level of protection, sub- 
ject to certain exceptions. The Artic- 
le 29 Data Protection Working Party 
(the “Article 29 Working Party”), es- 
tablished pursuant to the Directive, 
negotiated with U.S. representatives 
regarding the protection of personal 
data transferred between the EU and 
U.S. and, as a result, the Safe Harbour 
Principles were issued by the U.S. De- 
partment of Commerce in July 2000. 
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Turbulence under Safe Harbour 


In the years after its inception, Safe 
Harbour became subject to criticism. 
The criticism focused on the ability 
of U.S. companies to “self-certify” 
under the program, and that the Fede- 
ral Trade Commission (FTC) which 
policed Safe Harbour was not suita- 
bly stringent. Indeed, controversy 
over Safe Harbour had been brewing 
for years, not least following Edward 
Snowden’s (a former NSA contractor) 
whistle-blowing revelations which 
caused the European Commission to 
call for areview ofthe program. Then, 
a landmark ruling in October 2015 
impacted the entire compliance land- 
scape. In the case of Schrems v. Data 
Protection Commissioner, the Euro- 
pean Court of Justice (“ECJ”) inva- 
lidated the Safe Harbour framework. 
This effectively meant that personal 
data transferred from 

Members States in Europe to the 
U.S. pursuant to Safe Harbour was no 
longer deemed to be adequately pro- 
tected, a decision that left the nearly 
4,500 companies that self-certified un- 
der Safe Harbour in a state of flux. 


In fact, efforts to update and replace 
Safe Harbour with a “2.0 version” had 
been underway for some time, but the 
Schrems ruling demanded an urgent 
response. EU data protection authori- 
ties (gathered together as the Article 
29 Working Party) set a 31 January 
2016 deadline to replace the invalida- 
ted mechanism and for the EU and the 
U.S. Department of Commerce to de- 
velop a new solution. 


The Introduction of the EU-U.S. 
Privacy Shield 


On 2 February 2016, the European 
Commission and the U.S. Department 


of Commerce reached a deal on anew 
transatlantic personal data transfer 
pact, the resulting EU-U.S. Privacy 
Shield. On 12 July 2016, the European 
Union Commission officially adopted 
the EU-U.S. Privacy Shield (see http:// 
ec.europa.eu/justice/data-protection/ 
files/privacy-shield-adequacy- 
decision_en.pdf and _https://www. 
commerce.gov/privacyshield), repre- 
senting the culmination of a long pro- 
cess to address the shortcomings of 
the EU-U.S. Safe Harbour framework 
which was invalidated in October 2015 
by the ECJ. This follows the approval 
of Privacy Shield on 8 July 2016 by 
the Article 31 Committee (originally 
established under the Directive 95/46/ 
EC), which includes representatives 
ofthe EU Member States. While the 
European Union Commission’s ade- 
quacy decision is immediately effec- 
tive, U.S.-based companies will be gi- 
ven until 1 August 2016 to review the 
new framework’s requirements before 
being able to register and self-certify 
their compliance with Privacy Shield. 
For those U.S.-based companies that 
do register in August and September 
2016, these companies will be able to 
take advantage of a nine-month “gra- 
ce period” (i.e., through April 2017) 
to address their compliance-related 
requirements with third parties relati- 
ve to adherence with the new frame- 
work. 


The European Commission has pro- 
posed that the new Privacy Shield 
framework be deemed adequate to 
enable transfers of personal data bet- 
ween EU Member States (and presu- 
mably the three European Economic 
Area members, i.e., Iceland, Liech- 
tenstein and Norway) and the United 
States. The adequacy decision by the 
Commission, however, does state the 
following: 
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“The EEA Joint Committee has to de- 
cide on the incorporation of the pre- 
sent decision into the EEA Agreement. 
Once the present decision applies to 
Iceland, Liechtenstein and Norway, 
the EU-U.S. Privacy Shield will also 
cover these three countries and refe- 
rences in the Privacy Shield package 
to the EU and its Member States shall 
be read as including Iceland, Liech- 
tenstein and Norway.” 


The Privacy Shield framework is 
described by the U.S. Department of 
Commerce to embody “a renewed 
commitment to privacy by the U.S. 
and the EU, and to ensure it remains 
a living framework subject to active 
supervision, the Department of Com- 
merce, the FTC and EU DPAs [Data 
Protection Authorities] will hold an- 
nual review meetings to discuss the 
functioning of and compliance with 
the Privacy Shield.” (See https://www. 
commerce.gov/news/fact-sheets/2016/ 
02/eu-us-privacy-shield.) 


The stated aim is to strengthen co- 
operation between the FTC and EU 
DPAs, providing independent, vi- 
gorous enforcement of the data pro- 
tection requirements set forth in the 
Privacy Shield framework. EU indivi- 
duals will have access to multiple ave- 
nues to resolve concerns — at no cost 
to the individual — and will have an 
option to work with their local (natio- 
nal) DPA to resolve complaints. Addi- 
tionally, the Privacy Shield framework 
includes certain safeguards and trans- 
parency obligations relative to U.S. 
governmental access to personal data. 
For the first time, U.S. government has 
provided the EU with written commit- 
ments including an assurance from the 
Office of the Director of National In- 
telligence that access of public autho- 
rities to personal data for national se- 
curity purposes will be subject to clear 
limitations, safeguards and oversight 
mechanisms. 


The Privacy Shield framework in- 
cludes significant advancements to im- 
prove transparency regarding personal 
data use, strengthen the protections 
provided by participants, and inform 
EU individuals more comprehensively 
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about their rights under the program. 
But it is not without its critics. There 
are concerns about unfettered access 
to consumer data by intelligence and 
law enforcement officials. And the fact 
that the program is subject to annual 
reviews has led to questions over whe- 
ther the law could change on a regular 
basis, or as happened last autumn, get 
struck down altogether. 


To join the Privacy Shield, a U.S.- 
based company will be required to 
register and self-certify to the U.S. 
Department of Commerce and public- 
ly commit to comply with the require- 
ments of the new framework. These 
requirements for such participating 
companies (“participants”) include 
and are not limited to: 


e NOTICE: 
participants must review, update and 
publicize their privacy policies on- 
line and declare their commitment to 
comply with Privacy Shield and the 
specific notice requirements of the 
new framework 


DISPUTE RESOLUTION: 

EU individuals whose data is being 
processed by participants may lodge 
a complaint directly with a parti- 
cipant, which must respond to the 
complaint within 45 days; partici- 
pants must provide, without cost 
to the EU individuals, independent 
recourse mechanisms to investigate 
and expeditiously respond to such 
complaints; participants must com- 
mit to binding arbitration at the EU 
individual’s request to address com- 
plaints that have not otherwise been 
resolved through the processes set 
forth in the framework; and the par- 
ticipant may choose an EU DPA as 
its independent recourse mechanism 
provided that submission to DPA 
oversight is mandatory when a com- 
pany handles employee data’; 


COOPERATION WITH DEPART- 
MENT OF COMMERCE: 

participants must cooperate and res- 
pond promptly with the U.S. Depart- 
ment of Commerce to resolve com- 
plaints submitted by EU individuals 
(which can also be submitted by 


such individuals to their local data 
protection authorities, or “DPAs”) 


PURPOSE LIMITATION: 

similar to the Safe Harbour frame- 
work, participants must limit per- 
sonal information to that which is 
relevant for processing and pertains 
to the original purpose for which it 
was collected (absent subsequent 
consent by the individual) 


ONWARD TRANSFERS: 
participants must enter into contracts 
with third-party controllers and 
processors, regardless of location, 
to ensure adherence to the Privacy 
Shield framework and principles in- 
cluding the consent provided by the 
EU individual relative to the proces- 
sing of his or her personal data 


ACCESS: 

EU individuals have a right to know 
if participants are processing their 
personal data and modify, correct or 
delete it under certain circumstan- 
ces (such as data being inaccurate or 
being processed in violation of the 
requirements of Privacy Shield) 


Once a U.S.-based company com- 
mits to the Privacy Shield framework, 
the commitment will be enforceable 
under U.S. law and will remain enfor- 
ceable regarding any personal data 
processed during the self-certification 
period, even if a company is no longer 
a participating company. 


Best Practice Guidelines 


Although the EU Commission’s ade- 
quacy decision represents a milestone 
achievement towards a more unified 
system of laws and regulations around 
the processing and protection of perso- 
nal data between the EU and the U.S., 
detractors and skeptics remain vocal 
about the shortcomings of the new 
framework. Privacy Shield will like- 
ly be challenged by activists and ruled 
upon by European Courts (including 
the ECJ). Other EU-U.S. data pro- 
tection and compliance-related issues 
to be addressed will also focus on the 
impacts to Privacy Shield and compli- 
ance in general resulting from “Bre- 
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xit” and the upcoming implementati- 
on of the EU General Data Protection 
Regulation in May 2018. Companies 
processing personal data of EU citizens 
need to be undertaking privacy impact 
assessments to analyze what personally 
identifiable information is collected, 
used, processed and shared, understand 
and appropriately remediate compli- 
ance gaps, and make intelligent risk-re- 
lated decisions with the next three-year 
horizon in mind. Organisations con- 
ducting data transfers involving perso- 
nal data from the EU are tasked with 


Victorine Kossi 


identifying and implementing a robust 
plan with built-in contingencies if the 
horizon should suddenly change. In 
addition, the Article 29 Working Party 
has confirmed that model contracts or 
binding corporate rules can still be used 
for transfers of personal data from the 
EU to the U.S. Companies involved in 
the transfer of personal data from the 
EU to the U.S., or companies transfer- 
ring employee data, should review their 
policies and procedures in light ofthese 
new developments especially regarding 
the new General Data Protection Regu- 


lation, as it will impact not only compa- 
nies that operate in the EU, but that do 
business with EU consumers or employ 
EU citizens. 


jan 


See European Commission, “Guide to 
the EU-U.S. Privacy Shield‘ (http:// 
ec.europa.ew/justice/data-protection/ 
document/citizens-guide_en.pdf), 
2016, p. 7. 


Id. at 15. 
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Der Weg zum EU-US Privacy Shield 


Im Rahmen einer Klage des öster- 
reichischen Datenschutzaktivisten 
Max Schrems gegen die irische Daten- 
schutzaufsicht wegen Facebooks Da- 
tenübertragungen in die USA erklärte 
der europäische Gerichtshof (EuGH) 
mit einem Urteil vom 6. Oktober 2015' 
das Safe-Harbor-Abkommen zwischen 
den USA und der europäischen Kom- 
mission für ungültig. 

Um eine Datenübermittlung in die 
USA zu ermöglichen wurde im Jahr 
2000 das sog. Safe-Harbor-Abkom- 
men eingeführt, weil die USA als 
unsicheres Drittland nach EU-Daten- 
schutzvorgaben gelten. Werden Daten 
in ein Drittland übermittelt, so müssen 
die Datenexporteure sicherstellen, 
dass dort ein angemessenes Daten- 
schutzniveau herrscht. 

Mit der Angemessenheitsentschei- 
dung der Kommission vom 26. Juli 
2000 konnten Unternehmen in den 
USA durch Selbstzertifizierung nach 
den Safe-Harbor-Grundsätzen Daten 
aus der EU rechtmäßig importieren. 
Dieses Abkommen diente Jahrzehnte 
lang EU/EWR ansässigen Unterneh- 
men als Grundlage für den Datenex- 
port in die USA. Mehr als 4000 Un- 
ternehmen nutzten diese Vereinbarung 
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um personenbezogene Daten legal in 
die USA zu übermitteln. 

Das Abkommen war aber höchst um- 
stritten. Bemängelt wurden vor allem 
die massive Datenüberwachung durch 
amerikanischen Sicherheitsbehörden 
und die fehlenden Mechanismen zur 
Durchsetzung der Betroffenenrechte. 
Die Artikel-29-Arbeitsgruppe hatte 
bereits im Dezember 2014 auf diese 
Schwächen hingewiesen. 

Seitdem das Abkommen vom EuGH 
aufgehoben wurde, bot Safe Harbor 
nun keinen sicheren Hafen mehr für 
den Export europäischer Daten. Es 
musste eine neue Lösung her. 

Amerikanische und europäische Be- 
hörden führten intensive Gespräche, 
um eine Nachfolgevereinbarung für 
das Safe-Harbor-Abkommen auszu- 
handeln und abzuschließen. Am 2. Fe- 
bruar 2016 wurde eine erste politische 
Einigung erzielt. Das sogenannte EU- 
US Privacy Shield-Abkommen sollte 
einen neuen Rahmen für die Über- 
mittlung personenbezogener Daten 
zwischen der EU und den Vereinigten 
Staaten unter Berücksichtigung der 
Anforderungen der EuGH-Entschei- 
dung vorgeben 

Die Kommission stellte am 29. Feb- 


ruar 2016 ein erstes Ergebnis vor. Die 
„Artikel-29-Arbeitsgruppe“ lieferte 
dann am 13. April 2016 eine erste kri- 
tische Stellungnahme zu diesem Ent- 
wurf und riet zu Nachbesserung. 

Eine neue Version des EU-US Priva- 
cy Shield wurde am 26. Mai 2016 per 
Entschließung durch das Europäische 
Parlament angenommen. Die Kom- 
mission konnte damit das Verfahren 
zur Annahme des neuen Abkommens 
am 12. Juli 2016 durch den Erlass ei- 
ner Angemessenheitsentscheidung ab- 
schließen. Mit dieser Entscheidung 
soll das „EU - US-Schutzschild“ ein 
hohes Schutzniveau für den Daten- 
transfer bieten, das im Wesentlich 
mit den europäischen Anforderungen 
„gleichwertig“ sei. 


(Anfangs-)Vorbehalte durch die Arti- 
kel-29-Arbeitsgruppe und den euro- 
päischen Datenschutzbeauftragten 


Bei der Ankündigung des neuen Ab- 
kommens im Februar 2016 bezeich- 
nete die EU-Kommission dieses als 
„starken Rahmen“, der das Vertrauen 
in die transatlantischen Datenströme 
zwischen der EU und den USA wieder 
herstellen soll. 
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Trotz  verbreitetem Optimismus 
mahnte die Artikel-29-Arbeitsgruppe 
zur Vorsicht. 

In ihrer Stellungnahme vom 13. 
April 2016° hegte die Artikel-29-Ar- 
beitsgruppe Zweifel hinsichtlich der 
Konformität des neuen Abkommens 
mit den europäischen Datenschutz- 
grundsätzen. Ferner kritisierte sie man- 
gelnde Klarheit der Bestimmungen des 
Abkommens und fehlende Präzisierung 
der Grundprinzipien des Datenschut- 
zes, so wie sie im europäischen Daten- 
schutzgesetz verankert sind. 

Ihrer Ansicht nach tragen die Mecha- 
nismen zur Durchsetzung von Betroffe- 
nenrechten aufgrund ihrer Komplexität 
zu keinem wirksamen Schutz bei. Die 
Kritik der Artikel-29-Arbeitsgruppe 
wurde zum größten Teil vom Euro- 
päischen Datenschutzbeauftragten in 
seiner Stellungnahme vom 30. Mai 
2016 aufgenommen. Der Europäische 
Datenschutzbeauftragte erklärte, das 
Abkommen sei nicht robust und wür- 
de einer erneuten rechtlichen Prüfung 
durch den europäischen Gerichtshof 
nicht standhalten. Ferner bräuchte eine 
Angemessenheitsentscheidung erheb- 
liche Verbesserung im Hinblick auf 
die wichtigsten Grundsätze des Daten- 
schutzes, mit besonderem Augenmerk 
auf die Grundsätze der Erforderlich- 
keit, der Verhältnismäßigkeit und den 
Anspruch auf Rechtsschutz. 


Was ist neu durch den EU-US Priva- 
cy Shield? 


Nach Ansicht der europäischen Kom- 
mission enthält das neue Abkommen 
eine Reihe wichtiger Verbesserungen 
im Vergleich zu dem vorherigen Safe- 
Harbor-Abkommen. 

Die Europäische Kommission hat 
unter anderem von den amerikanischen 
Behörden zugesichert bekommen, 
Unternehmen, die personenbezogene 
Daten aus Europa importieren, stärker 
in die Pflicht zu nehmen und die An- 
wendung des Abkommens genauer zu 
überwachen. Die Federal Trade Com- 
mission (FTC) wird künftig Sanktio- 
nen verhängen können und gar teilneh- 
mende Unternehmen wegen unlauterer 
und irreführender Geschäftspraktiken 
ausschließen können, wenn diese sich 
nicht an die Vorgaben des neuen Ab- 
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kommens halten. Im Sinne der Trans- 
parenz müssen die zertifizierten Unter- 
nehmen ihre Datenschutzpolitik veröf- 
fentlichen. 

Das Abkommen enthält auch zum 
ersten Mal schriftliche Verpflichtun- 
gen und Zusicherungen amerikanischer 
Behörden hinsichtlich des Zugriffs auf 
europäische personenbezogene Da- 
ten. Massenhafte und undifferenzierte 
Überwachung soll es nicht mehr geben. 
Vielmehr wurden genaue Bedingungen 
und Grenzen der Überwachung durch 
US-Behörden definiert. 

Darüber hinaus verpflichten sich die 
Vereinigten Staaten alternative Verfah- 
ren und Mechanismen zur Beilegung 
von Streitigkeiten und Möglichkeiten, 
sich an einen Ombudsmann zu wenden, 
zu schaffen sowie Rechte betroffener 
Europäer besser zu schützen. 

Zu diesen ausgehandelten Punkten 
wurden aber auch weitere Klarstellun- 
gen insbesondere zur Sammelerhebung 
von Daten, der Stärkung der Ombuds- 
mannstelle und präzisere Verpflichtun- 
gen für Unternehmen in Bezug auf Be- 
schränkungen für die Speicherung und 
die Weitergabe von Daten vereinbart. 

Denn die EU-Kommission war seit 
der Vorlage des Entwurfs des Daten- 
schutzschilds im Februar 2016 bemüht, 
den Stellungnahmen der Europäischen 
Datenschutzaufsichtsbehörden, des Eu- 
ropäischen Datenschutzbeauftragten 
sowie der Entschließung des Europäi- 
schen Parlaments Rechnung zu tragen. 
Das neue EU-US Privacy Shield beruht 
auf folgenden Grundsätzen: 

° Strengere Auflagen für Unterneh- 
men, die Daten verarbeiten 
°e Klare Schutzvorkehrungen und 

Transparenzpflichten beim Datenzu- 

griff durch US-Behörden 
° Wirksamer Schutz der Rechte des 

Einzelnen 
* Gemeinsame jährliche Überprüfung 


Einzelheiten des Abkommens kön- 
nen aus dem Fact Sheet EU-US Privacy 
Shield FAQs entnommen werden.* 

Das Abkommen wurde den Mitglied- 
staaten bereits mitgeteilt. Amerikani- 
sche Unternehmen, die das EU-US Pri- 
vacy Shield nutzen wollen, können sich 
ab dem 1. August 2016 nach den neuen 
Regeln zertifizieren lassen. Das US- 
Handelsministerrum (Federal Trade 


Commission) stellt der Öffentlichkeit 
auf seiner Webseite eine Liste der zerti- 
fizierten Unternehmen zur Verfügung.‘ 


Ende gut, alles gut? 


Es muss festgehalten werden, dass 
das Abkommen eine große Erleichte- 
rung für die etwa 4000 Unternehmen 
ist, die Safe Harbor genutzt haben. Mit 
diesem neuen Abkommen verlassen sie 
den Bereich der Rechtsunsicherheit, in 
dem sie seit der Absetzung des Safe- 
Harbor-Abkommens gefangen waren. 

Die europäische Kommission stellte 
selbst in einer Mitteilung vom 29. Fe- 
bruar 2016’ fest, dass die Übermittlung 
und der Austausch personenbezogener 
Daten ein wesentlicher Bestandteil der 
engen Beziehungen zwischen der Eu- 
ropäischen Union und den Vereinigten 
Staaten sowohl im Handelsbereich als 
auch im Bereich der Strafverfolgung 
sei. 

Die Nachhaltigkeit dieser Lösung ist 
jedoch zweifelhaft, denn das Abkom- 
men bleibt trotz aller Nachbesserungen 
umstritten. 

Wie Safe Harbor bleibt der EU-US 
Privacy Shield ein sehr flexibler Me- 
chanismus, der erst durch Selbstzertifi- 
zierung greift. Es ist nicht absehbar, ob 
die nach harten Verhandlungen abge- 
rungenen Zugeständnisse eingehalten 
werden. Die grundsätzlichen Bedenken 
wegen der wenig transparenten Mas- 
senüberwachung durch die US-Ge- 
heimdienste dürften bestehen bleiben. 

Es gab keine Zusicherung seitens der 
amerikanischen Behörden künftig keine 
Daten mehr von Unternehmen im gro- 
Ben Stil abzugreifen, sondern nur ihren 
Umfang zu reduzieren und soweit wie 
möglich ihre Verwendung auf sechs Zie- 
le der nationalen Sicherheit (Spionage, 
Terrorismus, Massenvernichtungswaf- 
fen, Gefahren für die Cyber-Sicherheit, 
auf die Streitkräfte oder transnationale 
kriminelle Bedrohungen) zu begrenzen. 
Diese Liste wird jährlich überarbeitet. 
Inwieweit die Kommission diese Liste 
beeinflussen kann, bleibt ungewiss. 

Das Abkommen sieht außerdem den 
Einsatz eines „Privacy Shield Ombuds- 
mann“ als unabhängige Beschwerde- 
stelle und Vermittler zwischen euro- 
päischen Bürgern und amerikanischen 
Geheimdiensten, die ihre Befugnisse 
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missbrauchen, vor. Aber genau die 
Unabhängigkeit dieses Ombudsmanns 
wird in Frage gestellt. Die Mechanis- 
men zu Streitbeilegung bleiben für 
einzelne EU-Bürger sehr komplex und 
undurchsichtig. 

Die Stellungnahme der Artikel- 
29-Arbeitsgruppe war nach der Verab- 
schiedung des Abkommens mit großer 
Spannung erwartet worden. In ihrer am 
26. Juli 2016 veröffentlichten Stellung- 
nahme® begrüßte sie die Berücksichti- 
gung ihrer Anforderungen, bemängelt 
jedoch weiterhin, dass bestimmte As- 
pekte, wie die Nutzung der Daten für 
kommerzielle Zwecke, Vorbehalte zur 
Nutzung der Daten durch Auftragneh- 
mer, und der Zugriff der US-Behörden 
auf die Daten nicht geklärt bzw. nicht 
eindeutig genug geregelt wurden. Die 
Artikel-29-Arbeitsgruppe hat sich vor- 
genommen in einem Jahr die Wirksam- 
keit des Privacy Shields zu bewerten. 


Frank Spaeing 


Eine negativere Bewertung hätte wahr- 
scheinlich die Robustheit des Abkom- 
men stark geschwächt. 

Es ist aber zu erwarten, dass Auf- 
sichtsbehörden nationale Gerichte oder 
den EuGH anrufen und somit das neue 
Abkommen erneut auf die Probe stellen 
werden. 


1 EuGH, Urteil vom 6.10.2015 - C-362/14, 
Maximillian Schrems / Data Protection 
Commissioner 


2 http://ec.europa.eu/justice/data- 
protection/article-29/documentation/ 
opinion-recommendation/files/2014/ 
wp228_en.pdf 


3 Opinion 01/2016 on the EU - U.S. Priva- 
cy Shield draft adequacy decision 


4 http://europa.eu/rapid/press-release _ 
MEMO-16-2462_en.htm 


6 https://www.privacyshield.gov/list 
besucht am 10.09.2016 


7 Communication from the Commission 
to the European Parliament and Council 
Transatlantic Data Flows: Restoring 
Trust through Strong Safeguards http:// 
ec.europa.eu/justice/data-protection/files/ 
privacy-shield-adequacy- 
communication_en.pdf 


8 http://ec.europa.eu/justice/data- 
protection/article-29/press-material/ 
press-release/art29_press_material/ 
2016/20160726_wp29_wp_statement_ 
eu_us_privacy_shield_en.pdf 


Der EU-US Privacy Shield aus Sicht der DVD 


Nun ist er also da, der EU-US Privacy 
Shield. 

Wie in den zwei vorangegangenen Ar- 
tikeln schon geschrieben wurde, hat die 
EU-Kommission am 12.07.2016 die An- 
gemessenheitsentscheidung zu Gunsten 
des Regelwerks zum „Datenschutz- 
Schutzschild“ beschlossen. 

Die Deutsche Vereinigung für Da- 
tenschutz hat seit dem wegweisenden 
Urteil des EuGH! vom 06.10.2015 in 
mehreren Pressemitteilungen den Weg 
dahin mahnend begleitet. Im Nachhin- 
ein betrachtet haben diese Mahnungen 
(wie realistisch zu erwarten war) nicht 
viel genutzt. 

Schon am 13.10.2016? forderten wir, 
dass nach dem Urteil über einer der 
möglichen Rechtsgrundlagen für Euro- 
päische Unternehmen zur Übertragung 
personenbezogener Daten in die USA 
alle beteiligten Parteien zügig auf eine 
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Nachfolgereglung hinarbeiten sollten, 
die alle Forderungen des Urteils umset- 
zen würde. 

Die europäischen Aufsichtsbe- 
hörden hatten in ihrer Entscheidung 
vom 16.10.2015? eine dreimonatige 
Übergangsfrist eingeräumt, in der sie 
Unternehmen, die weiterhin auf Grund 
des Safe-Harbor-Abkommens Daten in 
die USA übertragen, nicht sanktionieren 
wollten, um Zeit für die Schaffung und 
dann Nutzung einer Nachfolgeregelung 
zu geben. 

Anfang Februar 2016 gab es dann eine 
Pressekonferenz’, bei der die zuständi- 
ge EU-Kommissarin Vera Jourovä im 
Beisein ihres amerikanischen Verhand- 
lungspartners (der durchaus überrascht 
schien) das Ergebnis verkündete, dass 
die EU mit den USA ein Nachfolge- 
abkommen beschlossen habe, welches 
aber erst in den nächsten Wochen? der 


Öffentlichkeit im Detail gezeigt werden 
könne. 

Auch dieses Ereignis begleiteten wir 
mit einer kritischen Pressemitteilung®, 
in der wir u.a. feststellten, dass die we- 
sentliche Arbeit beim Aushandeln des 
Nachfolgers von Safe Harbor noch nicht 
getan sei und diese Pressekonferenz nur 
dazu diene, die von den europäischen 
Aufsichtsbehörden festgelegte Still- 
haltefrist zu verlängern. 

Ende Februar war es dann soweit, es 
wurde von der EU-Kommission das EU- 
US Privacy Shield vorgestellt’, wieder- 
um begleitet durch eine DVD-Presse- 
mitteilung®, aus der ich mich hier gerne 
selbst zitiere: 

„Es ist für uns nicht nachvollziehbar, 
wie die EU-Kommissare Ansip und Jou- 
rava die Behauptung aufstellen können, 
das Datenschutzschild entspräche den 
Anforderungen des EuGH in Sachen 
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Grundrechtsschutz und Rechtsschutz- 
möglichkeit. Aus den Dokumenten er- 
geben sich nicht im Ansatz effektive 
Begrenzungen der Massenüberwachung 
durch Sicherheitsbehörden wie die NSA 
und ebenso keine wirksamen Daten- 
schutzinstrumente gegenüber US-Fir- 
men.“ 

Ein großer Wurf sieht anders aus. 

Auch die von der EU-Kommission 
zum EU-US Privacy Shield bereitge- 
stellte FAQ? brachte keine wesentlichen 
neuen Erkenntnisse. 

Die Artikel-29-Arbeitsgruppe kom- 
mentierte in ihrer Veröffentlichung'” 
vom 13.04.2016: 

„The Privacy Shield is the first ade- 
quacy decision that has been drafted 
since the texts of the GDPR were agreed 
in principle. Still, many of the improve- 
ments on the level of data protection of- 
fered to individuals are not reflected in 
the Privacy Shield. The WP29 therefore 
recommends that a review of this ade- 
quacy decision, as well as of the ade- 
quacy decisions issued for other third 
countries, should take place shortly af- 
ter the GDPR enters into application.“ 

Eine wohlwollende Würdigung sicht 
anders aus. 

Am 01.07.2016 hat die Artikel-29-Ar- 
beitsgruppe in einer Pressemitteilung'' 
ihre Forderungen noch einmal bestä- 
tigt. Auch wir haben am gleichen Tag 
eine Presseerklärung!” herausgegeben, 
in der wir klarstellten, dass die zentra- 
len Forderungen des EuGH-Urteils vom 
06.10.2015 unserer Meinung nach im 
EU-US Privacy Shield nicht erfüllt sei- 
en und dass Zugeständnisse an die USA 
im Nachklang des BREXIT auch auf 
die anstehenden Verhandlungen mit UK 
Auswirkungen haben würden. 

Unbeeinflusst davon hat am 
12.07.2016 die EU-Kommission die 
Angemessenheitsentscheidung zum EU- 
US Privacy Shield beschlossen. Laut der 
Pressemitteilung hatte die Kommission 
auf dem Weg zu dieser Entscheidung 
mit allen, auch den europäischen Auf- 
sichtsbehörden, zusammengearbeitet: 

„We have worked together with the 
European data protection authorities, 
the European Parliament, the Member 
States and our U.S. counterparts to put 
in place an arrangement with the high- 
est standards to protect Europeans ‘ per- 
sonal data.“ 
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Ob die europäischen Aufsichtsbehör- 
den sich dieser Tatsache bewusst waren? 

In unserer Presseerklärung’ vom 
12.07.2016 stellten wir die Langlebig- 
keit dieser Entscheidung in Frage und 
fragten uns, ob der EuGH bei gleichblei- 
bender Rechtsprechung lange brauchen 
werde um dem EU-US Privacy Shield 
ebenso wie Safe Harbor die Rechtmä- 
Bigkeit abzusprechen. 

Am 26.07.2016 äußerte sich die Ar- 
tikel-29-Arbeitsgruppe mit einer Pres- 
seerklärung'*, in der sie grundsätzlich 
die Verbesserungen des EU-US Privacy 
Shield gegenüber Safe Harbor lobte. 
Aber dann auch sofort wieder auf die 
Defizite hinwies und klarstellte, dass das 
erste jährliche Review (die jährlichen 
Überprüfungen sind eine der faktisch 
vorhandenen Verbesserungen zu Safe 
Harbor) zum Schlüsselmoment beim 
Beurteilen der Robustheit und Effizienz 
des EU-US Privacy Shield werde. 

Sie fordern eine uneingeschränkte Be- 
teiligung bei diesem Review und stellen 
weitergehende Konsequenzen aus die- 
sem Review für die anderen momentan 
existierenden rechtlichen Möglichkeiten 
(Binding Corporate Rules und EU-Stan- 
dard-Vertragsklauseln) zur Übertragung 
von personenbezogenen Daten in die 
USA (und in Drittstaaten generell) in 
Aussicht: 

„The first joint annual review will 
therefore be a key moment for the ro- 
bustness and efficiency of the Privacy 
Shield mechanism to be further as- 
sessed. In this regard, the competence of 
DPAs in the course of the joint review 
should be clearly defined. In particular, 
all members of the joint review team 
shall have the possibility to directly ac- 
cess all the information necessary for 
the performance of their review, inclu- 
ding elements allowing a proper evalu- 
ation of the necessity and proportiona- 
lity of the collection and access to data 
transferred by public authorities. When 
participating in the review, the national 
representatives of the WP29 will not 
only assess if the remaining issues have 
been solved but also if the safeguards 
provided under the EU-U.S. Privacy 
Shield are workable and effective. The 
results of the first joint review regarding 
access by U.S. public authorities to data 
transferred under the Privacy Shield 
may also impact transfer tools such as 


Binding Corporate Rules and Standard 
Contractual Clauses.“ 

In der Zwischenzeit werden sich die 
europäischen Aufsichtsbehörden auf 
die proaktive Unterstützung der euro- 
päischen Bürger bei der Wahrung ihrer 
Rechte aus dem EU-US Privacy Shield 
und auf die Bereitstellung weiterführen- 
der Informationen zum EU-US Privacy 
Shield und die damit verbundenen Ar- 
beitsweisen beschränken: 

„In the meantime, and now that the 
Privacy Shield has been adopted, with 
the Schrems judgment and opinion 
WP238 in mind, the DPAs within the 
WP29 commit themselves to proactively 
and independently assist the data sub- 
Jects with exercising their rights under 
the Privacy Shield mechanism, in par- 
ticular when dealing with complaints. 
The WP29 will soon provide informati- 
on to data controllers about their obli- 
gations under the Shield, comments on 
the citizens’ guide, suggestions for the 
composition of the EU centralized body 
and for the practical organisation of the 
Joint review. “ 

Auch dies hört sich nicht wie eine 
überschäumende Laudatio an. Was ja 
auch nicht zu erwarten war. Tatsäch- 
lich hatten sich die Bürgerrechtsbewe- 
gungen, die gegen den EU-US Privacy 
Shield angetreten waren, deutlich mehr 
erhofft! (wie unter anderem aus unseren 
im Artikel erwähnten Presseerklärungen 
klar hervorgeht). 

Dass die deutschen Aufsichtsbehör- 
den sich überaus laut zurückgehalten 
haben lässt vermuten, dass sie sich be- 
reits auf die enge Zusammenarbeit im 
Rahmen des Datenschutzausschusses 
gemäß der EU-DSGVO vorbereiten. 
In persönlichen Gesprächen waren die 
Meinungsäußerungen von Mitarbeitern 
einiger deutscher Aufsichtsbehörden 
zum EU-US Privacy Shield tatsächlich 
deutlich weniger wohlwollend. 

Mittlerweile hatte ja auch Anfang Juni 
2016 die hamburgische Aufsichtsbehör- 
de die ersten Bußgelder'° gegen Unter- 
nehmen verhängt, die nach dem EuGH- 
Urteil noch auf Safe Harbor gesetzt hat- 
ten. Über die Höhe der Bußgelder kann 
sicherlich diskutiert werden, in der Pres- 
seerklärung wird jedoch deutlich, dass 
diese deutlich geringer seien als es die 
nächsten sein werden, falls weiterhin Un- 
ternehmen dabei erwischt würden, dass 
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sie sich nicht um eine funktionierende 
Rechtsgrundlage gekümmert hätten. 

Seit dem 01.08.2016 ist der EU-US 
Privacy Shield nun voll funktionsfähig'” 
und US-Unternehmen können sich auf 
den Seiten des US Handelsministeriums 
(FTC) in der Liste der selbst verpflich- 
teten Unternehmen führen lassen, wenn 
sie sich an die Regeln des EU-US Priva- 
cy Shield halten'*. 

Perfiderweise haben sie neun Mona- 
te Zeit, bevor sie auch all diese Regeln 
einhalten müssen, auf die sie sich selbst 
verpflichtet haben!”. Was verwundert, da 
die Anforderungen nicht wesentlich von 
denen gemäß Safe Harbor abzuweichen 
scheinen. 

Trotzdem gilt der EU-US Privacy 
Shield nach Aussagen der EU-Kom- 
mission bereits ab dem 01.08.2016 als 
Rechtsgrundlage! 

Im Vergleich zum Aufwand, den deut- 
sche Unternehmen betreiben müssen, 
um eine wirksame Auftragsdatenverar- 
beitung gemäß $ 11 BDSG zu vereinba- 
ren”, wirkt dieses Regelwerk geradezu 
lächerlich schwach”'. 

Die EU-Kommission hat außerdem 
einen Ratgeber für Beschwerden gegen 
Unternehmen, welche die Datenschutz- 
standards des EU-US Privacy Shield 
nicht einhalten, veröffentlicht??. Dieser 
Leitfaden?” enthält neben den Rechten 
der Bürger und Pflichten der US-Unter- 
nehmen, die sich nach dem EU-US Pri- 
vacy Shield verpflichtet haben, eine Zu- 
sammenstellung der Möglichkeiten für 
den Fall, dass ein US-Unternehmen sei- 
nen Verpflichtungen nicht nachkommt. 

Den Betroffenen steht ein kostenlo- 
ses Verfahren zur alternativen Streit- 
beilegung (genannt Alternative Dispute 
Resolution) zur Verfügung. Zusätzlich 
ist es ihnen jederzeit möglich, sich an 
die nationalen Datenschutzbehörden 
in ihrem EU-Mitgliedstaat zu wenden, 
welche dann gemeinsam mit der FTC 
der Beschwerde nachgehen. Als letztes 
Mittel steht den Betroffenen außerdem 
ein Schiedsverfahren offen. 

Für den Fall, dass es um Rechts- 
schutzbegehren geht, die den Bereich 
der nationalen Sicherheit betreffen, 
wurde zusätzlich eine „von den US-Ge- 
heimdiensten unabhängige Ombudsstel- 
le“ eingerichtet. 

Hier werden die europäischen Auf- 
sichtsbehörden also gut zu tun haben, 
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um die europäischen Bürger proaktiv 
bei der Durchsetzung ihrer Rechte zu 
unterstützen, da die Mechanismen zur 
Streitbeilegung für einzelne EU-Bürger 
komplex und undurchsichtig bleiben. 
Einfach ist anders. 

Nun ist er also da, der EU-US Privacy 
Shield. Wir sind gespannt, wie lange er 
bleibt... 


1 Siehe http://curia.europa.eu/juris/ 
document/document.jsf?text=&docid= 
169195 &pagelndex=0&doclang=DE& 
mode=regq&dir=&occ=frst&part=1&c 
id=115283 


2 Siehe https://www.datenschutzverein.de/ 
wp-content/uploads/2015/10/ 
2015-10-12 DVD-PM EuGH zu Safe_ 
Harbor.pdf 


3 Siehe http://ec.europa.eu/justice/data- 
protection/article-29/press-material/ 
press-release/art29_press_material/ 
2015/20151016_wp29 statement on_ 
schrems_judgement.pdf 


4 Siehe http://europa.eu/rapid/press- 
release _SPEECH-16-221_en.htm 


5 Siehe http://europa.eu/rapid/press- 
release_IP-16-216_en.htm 


6 Siehe https://www.datenschutzverein.de/ 
wp-content/uploads/2016/02/2016-02- 
03-DVD_zu_EU-US-Privacy_shield.pdf 


7 Siehe http://ec.europa.eu/justice/ 
newsroom/data-protection/news/160229 _ 
en.htm 


8 Siehe https://www.datenschutzverein.de/ 
wp-content/uploads/2016/03/2016-03- 
01-DVD_schockiert ueber EU- 
US-Privacy_shield.pdf 


9 Siehe http://europa.eu/rapid/press- 
release MEMO-16-434_en.htm 


10 Siehe http://ec.europa.eu/justice/data- 
protection/article-29/documentation/ 
opinion-recommendation/files/2016/ 
wp238_en.pdf 


11 Siehe http://ec.europa.eu/justice/data- 
protection/article-29/press-material/ 
press-release/art29_press_material/ 
2016/20160701_wp29_press_release 
eu_us_privacy_shield en.pdf 


12 Siehe https://www.datenschutzverein. 
de/wp-content/uploads/2016/07/2016- 
07-01-DVD-PE-EU-US-PrivacyShield. 
pdf 


13 Siehe https://www.datenschutzverein. 
de/wp-content/uploads/2016/07/2016- 
07-12-DVD-PE-EU-Kommssion _ 
beschliesst_PrivacyShield.pdf 


14 http://ec.europa.eu/justice/data-protec- 
tion/article-29/press-material/press- 
release/art29_press_material/ 


2016/20160726_wp29_wp_statement_ 
eu_us_privacy_shield_en.pdf 


15 Siehe u.a. https://edri.org/transatlantic- 
coalition-of-civil-society-groups-privacy- 
shield-is-not-enough-renogitation-is- 
needed/ 


16 Siehe https://www.datenschutz-hamburg. 
de/news/detail/article/unzulaessige- 
datenuebermittlungen-in-die-usa. 
html?tx_ttnews%5BbackPid%5D=170 
&cHash=d21026cc72d2a53525c7c40d6 
cbaa6de2 


17 Siehe http://ec.europa.eu/justice/ 
newsroom/data-protection/news/160801_ 
en.htm 


18 Siehe hierzu die Artkel von Frau Dr. 
Kossi und Frau Rothmann in dieser 
DANA 


19 Dieses galt für alle Unternehmen, die 
sich in den ersten beiden Monaten selbst 
auf den EU-US Privacy Shield verpflich- 
tet haben. 


20 U.a. $ 11 Absatz 2, Satz 4 BDSG: „Der 
Aufraggeber hat sich vor Beginn der 
Datenverarbeitung und sodann regel- 
mäßig von der Einhaltung der beim 
Aufragnehmer getrofenen technischen 
und organisatorischen Maßnahmen zu 
überzeugen.“ 


21 Beim EU-US Privacy Shield warten wir 
erst einmal neun Monate auf die Zusi- 
cherung der Compliance? Und europä- 
ische Unternehmen übermitteln trotzdem 
sofort die Daten? Und das ist rechtskon- 
form und entspricht den Anforderungen 
des EuGH-Urteils? 


22 Im Moment steht das Dokument nur auf 
Englisch zur Verfügung, siehe http:// 
ec.europa.eu/justice/data-protection/ 
document/citizens-guide_en.pdf 


23 Kurz vor der Drucklegung gab es dann 
(zumindest) eine deutsche Übersetzung: 
http://ec.europa.eu/justice/data- 
protection/files/eu-us_privacy_shield_ 
guide_de.pdf 


133 


Frank Spaeing 


Pokemon GO und Datenschutz? 


Pokemon GO ist ein weltweites 
Phänomen. In den letzten Wochen hat 
sicherlich jeder schon Gruppen von 
Smartphone-Nutzern gesehen, die sich 
in Parks, an Kreuzungen, bei Kirchen, 
quasi überall versammelt haben, auf 
ihre Smartphones starren und ab und zu 
auf diesen hektische Bewegungen aus- 
führen. Diejenigen, die Pokemon GO 
noch nicht kennen, fragen sich nun, was 
sie da eigentlich beobachten. 

Pokemon GO ist eines der neuen 
Augmented Reality (AR) Spiele, sprich 
im Smartphone wird das von der Kame- 
ra aufgenommene Bild mit virtuellen 
Elementen, die das Smartphone hinzu- 
fügt, angereichert (augmented). Schon 
vorher gab es solche Spiele, Ingress! ist 
ein vielleicht bekanntes Beispiel, bei 
dem seit Ende 2013 Spieler (auch in 
Deutschland) in zwei konkurrierenden 
Gruppen versuchen, möglichst große 
öffentliche Bereiche unter ihre virtuelle 
Kontrolle zu bringen. 

Pokemon GO funktioniert anders. 
Hier geht es darum, dass die Spieler vir- 
tuelle Pokemon fangen, diese trainie- 
ren, entwickeln und in virtuelle Kämpfe 
gegen andere Pok&mon schicken. 

Was macht dieses Spiel nun so faszi- 
nierend?? Zum einen trifft es scheinbar 
genau den Nerv derjenigen, die in ihrer 
Jugend Pok&mon Spiele auf Nintendo- 
Konsolen gespielt haben. Zum andern 
verbindet es auf gekonnte Art Spielen 
und Bewegung bis hin zu Interaktion 
mit anderen Spielern im echten Leben. 
Es gibt diverse skurrile Geschichten 
rund um Pokemon GO: 

Ein Massennachtwandern mit ca. 
1000 Teilnehmern durch Hannover’; 
Diebe, die ihre Opfer durch Pokemon 
GO gefunden haben; Bundeswehrma- 
növer mit scharfen Waffen, die wegen 
über den Truppenübungsplatz laufen- 
der Pokemon GO Spieler abgebrochen 
werden mussten*; Beinahe- und echte 
Verkehrsunfälle, da Spieler während 
der Fahrt Pokemons gejagt haben’; 
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Pokemon GO Spieler, die den Verkehr 
lahm legen‘; Pok&mon GO Spieler, die 
über Bahngleise geirrt sind’; (u.a. Ho- 
locaust-) Gedenkstätten, die nicht als 
Spielstätten (sogenannte Pok£stops) 
missbraucht werden wollen?; Kranken- 
häuser, die Pok&mons unwissentlich 
beherbergen und sich über die Men- 
schenmengen wundern, die plötzlich 
durch die Stationen pilgern’; Straßen- 
bahnen, die nur für Pok&mon GO Spie- 
ler fahren!°; Privatleute, die sich über 
Nächtens durch ihre Vorgärten irrende 
Pokemon GO Spieler wundern!'; Taxi- 
Unternehmen, die Pok&mon GO Fahrten 
zum Flatrate-Tarif anbieten'?; Unterneh- 
men, die unbedingt ihre Ladengeschäfte 
als Pok&stops ins Spiel integriert haben 
wollen’; kluge Menschen, die anderer 
Leute Smartphones gegen Geld spazie- 
ren führen, damit diese derweil neue 
Pok&emons ausbrüten'!*; Länder, die die 
Nutzung von Pok&mon GO verbieten'’; 
Pokemon GO Spieler, die sich bei der 
Jagd nach Pokemon in Lebensgefahr 
bringen'‘; Musiker, die sich entweder 
bei ihren Konzerten beschweren, dass 
das Publikums, während sie spielen, ge- 
fälligst zuschauen und keine Pokemons 
jagen sollen, oder die sich lachend ins 
Bild neben das Pok&mon stellen'!”; selbst 
die KfW-Bank wirbt bei Twitter da- 
mit, dass zwei ihrer Filialen Pok&stops 
sind'®... 

Und das obwohl das Spiel offiziell 
erst seit dem 13.07.2016 in Deutschland 
verfügbar ist. Der weltweite Start des 
Spieles war am 06.07.2016 in den USA, 
Australien und Neuseeland. Und inner- 
halb weniger Tage hat dieses Spiel alle 
Veröffentlichungsrekorde gebrochen’, 
ist im Juli 2016 in Googles wie auch in 
Apples App-Store die unangefochtene 
Nr. 1 bei den Downloads gewesen. Po- 
kemon Go ist mittlerweile nach einer 
Studie in den USA auf 5% aller And- 
roid-Smartphones_ installiert”, Tinder, 
eine beliebte Dating-Plattform, nur auf 
2%!. Der Börsenwert von Nintendo ist 


zwischenzeitlich fast aufs Doppelte ge- 
stiegen (und auch schon wieder einge- 
brochen)”, obwohl Nintendo gar nicht 
der Hersteller des Spieles ist. Das ist 
Niantic, ein Google-Spin-Off, welches 
auch schon Ingress auf den Markt ge- 
bracht hat. 

Und obwohl die Anzahl der täglichen 
Nutzer im August um ein Viertel zurück 
gegangen ist, sind es immer noch mehr 
als 30 Millionen Personen, die täglich 
Pok&mon GO nutzen”. 


Was hat Pokemon GO nun mit Da- 
tenschutz zu tun? 


Leider Einiges: Zum einen ist das 
Thema Selbstdatenschutz zu nennen, 
zum anderen ist die Datensicherheit ein 
großes Problem bei dem Spiel, Spieler 
sollten aktiv über Selbstschutz nachden- 
ken und auch für Unternehmen kann das 
Spiel Probleme bereiten. 

Doch der Reihe nach. 


Selbstdatenschutz: 


Eingeräumte Rechte und Zugriff auf 
personenbezogene Daten 


Pokemon GO benötigt, um gespielt 
werden zu können, natürlich Rechte 
auf dem Smartphone. Es benötigt den 
Zugriff auf die Kamera, um an den ent- 
sprechenden Stellen Pok&mons in das 
reale Bild einzublenden, es benötigt die 
Standortdaten, um die Spieler zu den 
Pokemons zu lotsen. Neben diesen of- 
fensichtlich notwendigen Daten werden 
noch weitere Daten erfasst, wie u.a. die 
lückenlose Erfassung aller Aktionen im 
Spiel und aus den Standortdaten gene- 
rierte Bewegungsprofile. 

Mit den Nutzungsbedingungen räumt 
Niantic sich selbst und dritten umfas- 
sende Nutzungsrechte an den Daten 
ein. Schon jetzt ist es Realität, dass nur 
wenige Nutzer konsequent Nutzungsbe- 
dingungen und AGBs und Datenschutz- 


DANA » Datenschutz Nachrichten 3/2016 


hinweise lesen, deswegen werden auch 
bei Pokemon GO die Wenigsten wissen, 
was sie genau akzeptieren. 

Es ist auf jeden Fallnicht möglich, das 
Spiel anonym zu spielen. 

Die Pokemon Company speichert von 
Pok&mon-Spielern personenbezogene 
Daten wie den Namen, Mail-Adresse, 
Telefonnummer und nimmt sich in sei- 
nen Geschäftsbedingungen heraus, die- 
se auch mit demographischen Informati- 
onen wie Alter, Geschlecht, Geburtsda- 
tum, Hobbys und Präferenzen in Bezug 
auf Spielzeuge und Spiele zu verknüp- 
fen und an Dritte weiterzugeben. 

Eine interessante Anekdote ist es an 
dieser Stelle sicherlich, dass der Chef 
von Niantic vorher für Google Street 
Maps zuständig war, die bei ihren Stra- 
Renerfassungsfahrten ja auch diverse 
andere Daten (bis hin zu WLANSs) er- 
fasst hatten”. 

Außerdem benötigt das Spiel einen 
Account. Als das Spiel veröffentlicht 
wurde, war dafür im Wesentlichen nur 
den Google-Account nutzbar, mittler- 
weile geht es auch mit einem Account 
beim Pok&mon Trainer Club”. Das 
Problem der Verknüpfung mit dem 
Google Account war, dass sich Niantic 
hier umfassende Nutzungsrechte (unter 
anderem auch des E-Mail-Accounts) 
einräumte. Seit der Version 1.02 haben 
sich die eingeräumten Nutzungsrechte 
reduziert. 

Hier ist es auf jeden Fall sinnvoll, falls 
jemand jetzt erst mit dem Spiel begin- 
nen will, einen neuen Account (sei es 
bei Google oder beim Pok&mon Trainer 
Club) anzulegen und diesen für das Spiel 
zu nutzen um den Zugriff auf personen- 
bezogene Daten in den Haupt-Accounts 
zu verhindern. Allerdings ist es nur un- 
ter Verlust aller bisher erspielten Daten 
und Spielstände möglich, von einem 
Account auf einen anderen zu wechseln. 

Neben den oben genannten vielfälti- 
gen Datenerhebungen fehlen an vielen 
Stellen nach deutschem Datenschutz- 
recht konkrete Einwilligungen in Über- 
tragungen (zum Beispiel an die oben 
genannten Dritten). Speziell erwähnt sei 
hier noch eine sehr versteckte und nach 
deutschem Recht so wohl nicht zulässi- 
ge Klausel, die besagt, dass die Spieler, 
wenn sie nicht konkret innerhalb von 
dreißig Tagen widersprechen, mit Ak- 
zeptieren der Nutzungsbedingungen auf 
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jegliche Klagerechte vor Schiedsgerich- 
ten verzichten (,‚Wenn Sie Niantic keine 
Schiedsverfahrens-Verzichtserklärung 
innerhalb der 30-Tagesfrist zukommen 
lassen, wird davon ausgegangen, dass 
Sie wissentlich und vorsätzlich von Ih- 
rem Recht, jede Unstimmigkeit vor Ge- 
richt klären zu lassen, zurückgetreten 
sind [...]°).° 

Zu guter Letzt ist das Thema Löschen 
von personenbezogenen Daten und die 
Weitergabe an Regierungen und Straf- 


verfolgungsbehörden unbefriedigend 
und meist intransparent für die Spieler 
geregelt. 


Auch der Verbraucherzentrale Bun- 
desverband (vzbv) hat übrigens Niantic 
schon wegen der Nutzungsbedingungen 
abgemahnt””. 


In-App-Käufe 


Pokemon GO ist ein sogenanntes 
Freemium-Spiel. Man kann es kostenlos 
herunterladen, installieren und spielen. 
Aber an vielen Stellen wird durch das 
Spiel gesteuert recht bald das Bedürfnis 
geweckt, dass das doch auch schneller 
gehen muss. Diese Abkürzungen kann 
man sich über Pok&münzen erkaufen. 
Diese gibt es für reale Geldbeträge (von 
0,99 € für 100 Pokemünzen bis hoch 
zu 99,99 € für 14.500 Pok&münzen) zu 
kaufen. 

Da ein recht großer Teil des Zielpu- 
blikums sicherlich noch nicht volljäh- 
rig ist, sollten hier die Eltern besonders 
aufpassen, dass sich nicht schnell große 
Summen addieren. Auch Erwachsene 
sollten im Zweifelsfall gut abwägen, ob 
es sich lohnt, für ein Spiel (im Zweifels- 
fall viel) Geld auszugeben. 


Datensicherheit 


Probleme mit verseuchten, nicht- 
offiziellen Apps 


Pokemon GO wurde, obwohl es erst 
am 13.07.2016 offiziell in Deutschland 
(und auch in anderen Ländern) veröf- 
fentlicht wurde, trotzdem schon gespielt. 
Die Spieler konnten sich über mehr oder 
weniger offizielle und sicherlich meist 
weniger sichere Wege die Spieleinstal- 
lationsdateien (APKs) herunterladen 
und die Spiele installieren. Allerdings 
gab es genügend Installationspakete, die 


Trojaner- oder Virenverseucht waren. 
Deswegen galt zu Beginn und gilt auch 
weiterhin: Pokemon GO im Eigeninter- 
esse nur über die offiziellen App-Stores 
laden und installieren. 

Mittlerweile ist es so, dass es hunder- 
te Trittbrettfahrer-Apps in (zumindest) 
den Google-App-Stores gibt”, die au- 
Ber dem Namen wenig mit dem Spiel 
gemein haben und versuchen, Nutzern 
unberechtigt Daten abzuziehen. Hier 
gilt es sehr sorgfältig zu prüfen, ob eine 
App wirklich zusätzlich zum Hauptspiel 
nötig ist, um Pok&mon GO spielen zu 
können”. 

Auch gibt es mittlerweile für Win- 
dows eine PC-App für Pokemon GO, 
diese enthält allerdings im Wesentlichen 
nur einen Verschlüsselungs-Trojaner°". 


Akkulaufzeit 


Eine Problematik, die mit Datensi- 
cherheit nicht viel zu tun hat, aber viel- 
leicht trotzdem die Verfügbarkeit und 
auch Nutzbarkeit des Smartphones an 
sich beeinträchtigen kann, ist die schnell 
sinkende Akkulaufzeit. Das Spiel benö- 
tigt reichlich Akkuleistung, da sowohl 
der Grafikchip als auch die Kamera und 
natürlich auch das Display im Betrieb 
im Freien am Akku nagen. Es sind schon 
viele Spieler mit Rucksäcken gesichtet 
worden, in denen neben der Verpflegung 
(Bewegung an der frischen Luft macht 
Appetit, dazu unten mehr) auch zusätz- 
liche Akkupacks transportiert werden’. 


Selbstschutz 


Wie schon bei den oben genannten 
skurrilen Geschichten erwähnt, hat es be- 
reits Pokemon GO Spieler gegeben, die 
unaufmerksam am Straßenverkehr teilge- 
nommen haben (als Autofahrer oder als 
Fußgänger bzw. Radfahrer) und so ent- 
weder in Unfälle verwickelt wurden oder 
nur knapp diesen entgangen sind. 

Hierzu müssen die Spieler berück- 
sichtigen, dass die Nutzung von Smart- 
phones im Straßenverkehr (als Auto- 
fahrer) zum einen Geldbuße und einen 
Punkt in Flensburg bedeutet, dass zum 
anderen im Falle eines Unfalles die Ver- 
sicherungen bei der nachgewiesenen 
Nutzung des Smartphones von grober 
Fahrlässigkeit ausgehen und somit den 
Kaskoschutz versagen können”. 
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Auch unbedarft durch die Gegend zu 
laufen, immer mit Blick aufs Smartpho- 
ne-Display, kann gefährlich sein, wie 
mehrere Beinahe-Unfälle auf Bahn- 
schienen und der Vorfall auf dem deut- 
schen Truppenübungsplatz gezeigt ha- 
ben. Hier sollten die Spieler tatsächlich 
vorher nachdenken und ab und zu mal 
den Realitäts-Check durchführen (,Wo 
bin ich gerade und was mache ich gera- 
de im echten Leben“). 

Auch sollte nicht jede Gegend gerade 
zu nächtlicher Zeit alleine aufgesucht 
werden, da es zumindest in den USA 
schon Verbrecher gegeben hat, die sich 
im Spiel besonders beliebte und für 
ihre Zwecke praktische Gegenden aus- 
gesucht und dort Pokemon GO Spieler 
beraubt haben®*. 


Wie sind Unternehmen von 
Pok&mon GO betroffen? 


Grundsätzlich sind natürlich die meis- 
ten Probleme, die bisher genannt wur- 
den (zum Beispiel In-App-Käufe und 
Akkulaufzeiten) auch für Unternehmen 
relevant, wenn diese die Nutzung von 
dienstlichen Smartphones im privaten 
Kontext zulassen, denn dann sind es 
ja Dienstsmartphones, auf denen diese 
Probleme auftreten können. 

Auch die Datenschutzfragen betref- 
fen dann auf einmal das Unternehmen, 
denn die sich auf dem Smartphone 
befindlichen Daten sind ja dann auch 
dienstlicher Natur und hierbei hat das 
Unternehmen als verantwortliche Stel- 
le sicherzustellen, dass personenbezo- 
gene Daten nicht unerlaubt Dritten zur 
Kenntnis gelangen und außerdem hat ja 
auch jedes Unternehmen Interesse dar- 
an, Geschäftsgeheimnisse angemessen 
zu schützen. 

Zusätzlich kann, dadurch, dass die 
Spieler jamit aktiven Kameras, die durch 
eine Fremdsoftware gesteuert werden, 
über Firmengelände laufen, auch das 
Thema Werksspionage relevant werden. 
Zum einen, weil kaum jemand weiß, 
was genau mit den Daten bei Niantic 
und den sonstigen berechtigen Dritten 
passiert, zum anderen, weil sicherheits- 
bewusste Unternehmen ähnlich wie die 
Bundeswehr bei ihrem Manövervorfall 
natürlich auch zu dem Schluss kommen 
können, dass sich (Wirtschafts-)Spione 
unter dem Deckmantel des Pokemon 
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GO Spielens „zufällig“ in sensible Be- 
reiche verirren können. 

Hier kann ein Unternehmen u.a. über 
entsprechende Regelungen zur Nutzung 
von dienstlichen und auch privaten 
Smartphones gegensteuern”*. 

Sollte das Unternehmen mit seinen 
Betriebsstätten als Poke&stop im Spiel 
installiert sein und nicht wie die KfW- 
Bank dieses auch noch als Vorteil emp- 
finden, bleibt nur der Weg sich an den 
Anbieter Niantic mit einer entsprechen- 
den Beschwerde zu wenden” und bis 
zur Löschung aus dem Spiel die Sicher- 
heitsmaßnahmen der Zugangs- bzw. Zu- 
trittskontrolle entsprechend zu erhöhen. 


Gibt es auch Positives? 


Neben den genannten Problematiken 
und neuen Themen, mit denen sich Spie- 
ler und Unternehmen befassen müssen, 
soll aber auch über die positiven Aspek- 
te des Spieles gesprochen werden: 

Es gibt bereits mehrere Ärzte, die sich 
positiv über Pokemon GO geäußert ha- 
ben, da es die Spieler (vorsichtiges Ver- 
halten sei jetzt einmal vorausgesetzt) 
ins Freie treibt und das gerade für eher 
bewegungsfaule Menschen durchaus 
förderlich ist. 

Und mal abgesehen davon, dass es 
mitunter schon komisch wirkt, wenn 
Gruppen von Menschen auf ihre Smart- 
phones starrend in der Gegend stehen 
oder sich langsam in ihr bewegen, gibt 
es auch schon reichlich Pokemon GO 
Spieler, die die unerwartete Interakti- 
on mit Mitspielern und die sich daraus 
ergebenden neuen Kontakte durchaus 
schätzen °*. 


Ein Fazit 


Wenn Sie also das Spielvergnügen 
dem Selbstdatenschutz vorziehen, im 
Rahmen dessen, was in dem Spiel mög- 
lich ist, bestmöglich auf sich selbst und 
Ihre Sicherheit achten und wenn Sie die 
geltenden Regelungen in Ihren Unter- 
nehmen beachten, dann kann die Nut- 
zung von Pokemon GO, mal abgesehen 
vom sicherlich vorhandenen Spielspaß, 
auch durchaus den einen oder anderen 
zusätzlichen Bonus bereithalten. 

Oder doch nicht? Lesen Sie vielleicht 
doch erst den folgenden Artikel von Ro- 
land Appel. 


Bis dahin können Sie ja in der unange- 
reicherten Natur spielen’”. 


1 Siehe https://de.wikipedia.org/wiki/ 
Ingress_(Spiel) 


2 Siehe http://www.heise.de/tr/blog/ 
artikel/Dark-side-of-Pokemon-3272397. 
html 


3 Siehe http://www.heise.de/newsticker/ 
meldung/Pokemon-Go-Nachtaktion- 
in-Hannover-zog-1000-Spieler- 
an-3269063.html 


4 Siehe http://www.heise.de/newsticker/ 
meldung/Pokemon-Go-Bundeswehr- 
warnt-intern-vor-Sicherheitsrisiken- 
3279734.html 


5 Siehe http://digg.com/video/welp-heres- 
footage-of-a-pokemon-go-player-side-s 
und http://digg.com/video/pokemon-go- 
accidents (bitte dabei den Talkshow-Teil 
ignorieren) 


6 Siehe u.a. https://www.youtube.com/ 
watch?v=AJxbS9Ly4Os 


7 Siehe http://www.haz.de/Nachrichten/ 
Der-Norden/Uebersicht/Pokemon-Go- 
Spieler-geraet-auf-Bahngleise 


8 Siehe http://www.rbb-online.de/ 
panorama/beitrag/20 16/07/Pokemon- 
Go-Gedenkstaetten-Kritik.html und 
http://www.spiegel.de/politik/ausland/ 
pokemon-go-gedenkstaetten-in-den-usa- 
verbieten-handyspiel-a-1102747.html 


9 Siehe http://www.welt.de/wirtschaft/ 
webwelt/article157003685/Es-gibt-ein- 
krankes-Pokemon-aber-bittebesucht-es- 
nicht.html 


10 Siehe http://www.heise.de/ 
newsticker/meldung/Strassenbahn- 
kurvt-fuer-Pokemon-Jaeger-durch- 
Duesseldorf-3288663..html 


11 Siehe https://www.buzzfeed.com/ 
stephaniemcneal/pokemon-go- 
house?utm_term=.rvBMpBE7wg#. 
evIYDBOeXV 


12 Siehe http://www.bbe.co.uk/newsbeat/ 
article/36922942/manchester-taxi-firm- 
will-drive-you-around-the-cityto-catch- 
pokemon 


13 Siehe http://www.heise.de/newsticker/ 
meldung/Monstergeschaeft-Pokemon- 
Go-Wie-Haendler-vom-Hype- 
profitieren-3268192.html und http:// 
www.spiegel.de/netzwelt/apps/ 
pokemon-go-wie-unternehmen-vom- 
hypeprofitieren-a-1104335.html 


14 Siehe https://www.youtube.com/ 
watch?v=3UCa3HQsBQA 


15 Siehe http://kotaku.com/iran-becomes- 
first-country-to-ban-pokemon- 
go-1784948633 und 
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http://www.heise.de/newsticker/ 
meldung/Pokemon-Go-im-Iran- 
verboten-aus- 
Sicherheitsgruenden-3289410.html 


16 Siehe https://www.theguardian.com/ 
technology/2016/juV/20/pokemon-go- 
players-in-bosnia-warned-to-steer-clear- 
of-landmines 


17 Siehe http://www.spiegel.de/kultur/ 
musik/pokemon-go-auf-pop- 
konzerten-rihanna-schimpft-beyonce- 
laechelt-a-1104542.html 


18 Siehe https://twitter.com/KfW/sta- 
tus/753593259398688768 


19 Siehe http://www.heise.de/newsticker/ 
meldung/Pokemon-Go-verbucht- 
75-Millionen-Downloads-3278437.html 


20 Siehe http://www.heise.de/newsticker/ 
meldung/Pokemon-Go-knackt-App- 
Store-Rekord-3277193.html 


21 Siehe http://gizmodo.com/pokemon- 
go-is-already-bigger-than-tin- 
der-1783436897 


22 Siehe http://www.heise.de/tr/artikel/ 
Post-aus-Japan-Pokemon-Hype-mit- 
Nebenwirkung-3280073.html 


Roland Appel 


23 Siehe http://arstechnica.co.uk/ 
gaming/2016/08/pokemon-go-sheds- 
more-than- 10m-users/ 


24 Siehe https://theintercept. 
com/2016/08/09/privacy-scandal- 
haunts-pokemon-gos-ceo/ 


25 Siehe http://www.heise.de/newsticker/ 
meldung/Pokemon-Go-Ohne-Google- 
Account-in-den-Safe-Harbor-3266638. 
html 


26 Siehe http://www.heise.de/ct/artikel/ 
Pokemon-Go-Datenschuetzer-kritisiert- 
Nutzungsbedingungen-3269009.html 


27 Siehe http://www.heise.de/newsticker/ 
meldung/Pokemon-Go-Verbraucher- 
schuetzer-mahnen-wegen-Nutzungsbe- 
dingungen-ab-3273312.html 


28 Siehe http://www.heise.de/security/ 
meldung/Pokemon-Go- 
Sicherheitsforscher-stossen-auf-215- 
Fake-Apps-3270676.html 


29 Siehe u.a. http://www.heise.de/ix/heft/ 
Player-s-little-Helper-3302379.html 


30 Siehe http://www.heise.de/security/ 
meldung/Pokemon-Go-Ransomware- 


verschluesselt-erpresst- 
und-schnueffelt-3294543.html 


31 Siehe http://www.heise.de/ct/ 
artike/Pokemon-fangen-ohne-Akku- 
Frust-3279725.html 


32 Siehe http://www.heise.de/autos/artikel/ 
Pokemon-Jaeger-Strafen-und- 
Vollkasko-Verlust-3273470.html 


33 Siehe http://www.stern.de/digital/ 
games/pok%C3%A9mon-go-ueberfall- 
smartphone-android-ios-6946916.html 


34 Siehe http://www.heise.de/autos/artikel/ 
VW-verbietet-Pokemon-Go-auf- 
Werksgelaende-3292223.html 


35 Siehe http://www.heise.de/ct/hotline/ 
Pokemon-Go-Pokestops-entfernen- 
3281474.html 


36 Siehe http://kotaku.com/pokemon-go- 
helped-me-cope-with-my-social- 
anxiety-1783988220 


37 Siehe http://www.heise.de/mac-and-i/ 
meldung/Statt-Pokemon-Go- 
Waldfibel-App-schickt-Kids-in-die- 
Natur-3293310.html 


Die Informationelle Selbstenthauptung 


Seit einigen Wochen rauscht ein Me- 
dienhype durch die Republik, bei der 
sich „Tagesschau“, „Heute“ und alle an- 
deren Nachrichtensendungen, aber auch 
Magazine und Wirtschafts- und Wissen- 
schaftssendungen und Artikel in zumeist 
unkritischer „Neutralität“ über die Freu- 
de berichten, die die Macher mit ihrem 
Spiel den Konsumenten bereiten. Na gut, 
wenn der Nerd einmal im Jahr an die Fri- 
sche Luft geht, ist man ja schon froh! Un- 
geachtet des Putsches nach dem Putsch- 
versuch und der „Säuberungen“ des tür- 
kischen Diktators Erdogan, unverdrossen 
durch die Anschläge von Würzburg und 
München stolpern wie von Sinnen außer 
Kontrolle geratene Menschen durch un- 
sere Metropolen hin und her. Sie laufen 
über rote Ampeln, ignorieren Autover- 
kehr, legen Brücken lahm und gefährden 
sich und andere. Alles, um mit dem alber- 
nen Spiel „Pokemon Go“ US-amerikani- 
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scher Konzerne, diesen möglichst viele 
private Daten kostenlos und freiwillig zu 
schenken und sich selbst zum gläsernen 
Affen zu machen. 

„Mach Dich auf, um draußen wilde 
Pokemon zu finden und zu fangen... 
Dein Smartphone hilft dir dabei, indem 
es vibriert, wenn sich ein Pokemon in 
deiner Nähe befindet...wirf einen Po- 
keball, um es einzufangen...halte nach 
PokeStops Ausschau, die sich an inter- 
essanten Schauplätzen befinden,... wo 
du mehr Pokebälle und Items sammeln 
kannst. ...außerdem können andere 
Spieler deinen Avatar sehen, ...wenn es 
beispielsweise sehr viele Quapsel in dei- 
ner Gegend gibt, aber du kein einziges 
Quaputzi finden kannst, dann solltest Du 
viele Quapsel fangen, um eines davon 
zu einem Quaputzi zu entwickeln.“ 

Allein diese Leseproben wären nor- 
malerweise geeignet, Zweifel daran zu 


wecken, auf welches geistige Niveau 
sich erwachsene Menschen des 21. Jahr- 
hunderts hinab zu geben bereit sind, 
wenn ihnen nur per Smartphone ein 
buntes digitales Kindergartenmonster 
vorgegaukelt wird. Jeder Neanderthaler 
würde darüber vermutlich bedenklich 
den Kopf schütteln. 

Um in die Scheinrealität von Poke- 
mon Go einzutauchen und sich dem 
spielerischen Schwachsinn an der 
Grenze zwischen virtueller und realer 
Welt hinzugeben, ist es nur nötig, die 
App „kostenlos“ im App Store oder bei 
Google Play herunterzuladen. Das Spie- 
len von Pokemon Go sei, so behauptet 
die offizielle Homepage, „kostenfrei“, 
solle aber für „tolle Aktivitäten“ tau- 
gen, die Spieler könnten „ihr Erlebnis 
rund um Pokemon Go verschönern“, 
indem sie „mehr Items und Funktionen 
über In-App-Käufe“ erhalten. Richti- 
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ges Geld soll hierfür in „PokeMünzen“ 
eingetauscht werden, die in Pokemon 
Go gültige Währung. — „Second Life“, 
in dem schon einmal einige hundert 
Millionen Dollar weltweit ins virtuel- 
le Nichts verdampften, lässt grüßen! — 
Was also passiert, wenn der Spieler in 
die virtuelle Welt des Spiels eintaucht? 
Pokemons in der kostenlosen Grundaus- 
stattung des Spiels zu treffen, ist schwie- 
rig. Kauft man allerdings entsprechende 
Hilfsmittel, lassen sie sich leicht fangen. 
Selbst wenn eine solche „Fanghilfe“ nur 
10 ct. kostet, bedeutet das bei mehreren 
hundert Millionen Teilnehmenden ei- 
nen unglaublichen Reibach. Das ganze 
Spiel ist nichts anderes, als ein riesiges 
Geschäftsmodell. Aber wo bleiben die 
Verbraucherrechte? 

Wir wollen uns hierzu einmal die Nut- 
zungsbedingungen der Herausgeber auf 
der Zunge zergehen lassen: Durch die 
Nutzung des Service erkläre man, so 
heißt es dort, „dass Sie die Bedingungen 
gelesen und verstanden haben und Sie 
der Datenschutzrichtlinie von Pokemon 
... sowie dem Verhaltenskodex, den wir 
von Zeit zu Zeit erstellen, zustimmen.“ 
Kein Button, kein Kreuzchen, keine 
aktive Zustimmung nötig. Zufall? Es 
kommt noch schlimmer: „Wenn Sie Ihr 
Einverständnis zur Nutzung durch ein 
minderjähriges Kind erteilen, stimmen 
Sie gleichzeitig zu, dass das minder- 
jährige Kind durch diese Bedingungen 
gebunden ist. ...Wir werden die Bedin- 
gungen von Zeit zu Zeit eventuell aktu- 
alisieren und ändern. Durch die fortge- 
setzte Verwendung des Dienstes bringen 
Sie zum Ausdruck, dass Sie diese Ände- 
rungen akzeptiert haben.“ 

Zu Deutsch: Wer am Spiel teilnimmt, 
verzichtet allein dadurch auf alle Rech- 
te, stimmt (blind) allen Bedingungen der 
Herausgeber zu, auch wenn er die nicht 
gelesen hat und ist auch für seine Kin- 
der verantwortlich, egal ob sie erlaubt 
oder unerlaubt spielen, die Verantwort- 
lichkeit wird einfach unterstellt. Die 
Zustimmung wird auch auf zukünftige 
Änderungen ausgedehnt, die fortgesetz- 
te Teilnahme am Spiel reicht aus. Das 
schlägt alle bisherigen Nutzungsbe- 
dingungen, wie sie sonst von z.B. Mi- 
crosoft, Apple oder anderen Anbietern 
regelmäßig herausgegeben werden, an 
Dreistigkeit um Längen. Sollten also 
die Nintendo-Firmen eines Tages dort 
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hineinschreiben, dass Spieler alle ihre 
Drittgeborenen als Gegenleistung für 
die Spielteilnahme dem Konzern als Ad- 
optivkinder zur Verfügung stellen müs- 
sen, wäre dieser Vertrag nach Lesart der 
Spielerfinder wohl gültig. 

Es ist schon erstaunlich, dass Men- 
schen, die sonst zumindest vorgeben, 
bei Handyverträgen, beim Einkauf im 
Supermarkt oder im Internet auf ihre 
Verbraucherrechte zu achten, im Fal- 
le von „Pokemon Go“ offensichtlich 
jede Vorsicht haben fallen lassen. Aber 
auch die Medien, die seit Erscheinen 
des Hype im Mai 2016 regelmäßig über 
die Auswüchse der „Pokemania“ be- 
richten, haben sich bisher kaum dafür 
interessiert, was hier getarnt als „Spiel“ 
an internationalem kapitalem Datenraub 
unter den Augen der Öffentlichkeit da- 
her kommt. Denn nicht nur am Kauf 
von Sonderleistungen verdienen die In- 
itiatoren der NIANTIC Inc., einer Toch- 
ter von Google und Pokemon Company 
International Inc., hinter der Nintendo 
steht, kräftig. Die einfache Lektüre der 
Nutzungsbedingungen erlaubt es zu er- 
kennen, wie sich die Veranstalter einer 
der größten Datensammlungen nach Fa- 
cebook und Google die privaten Infor- 
mationen der Nutzer zu eigen machen. 
Diese werden im Spiel ermuntert, sich 
nicht nur mit personenbezogenen Daten 
anzumelden. Sie werden animiert, Fotos 
über ihre Umgebung zu machen, Daten 
über ihren Standort preiszugeben, an- 
deren Mitspielern ihren virtuellen und 
tatsächlichen Aufenthalt offen zu legen 
und vieles andere mehr. Und dies unter 
den folgenden Bedingungen: 

„Sie erklären und erkennen an, dass 
Sie keine Eigentumsrechte oder sons- 
tigen Rechte an Inhalten des Services 
haben, einschließlich — aber nicht be- 
schränkt auf — Inhalte, die Sie selbst er- 
stellt oder entwickelt haben, einschließ- 
lich Trainerbildern, Bildschirmnamen, 
Spielstände, Chatinhalte und andere 
Nachrichten, die an einen Service oder 
uns direkt übermittelt wurden.“ Wer 
spielt, verzichtet also auf alle Rechte an 
den eigenen Daten, Informationen, Fo- 
tos, usw. und verzichtet selbstverständ- 
lich auch auf alle Persönlichkeitsrechte 
und praktisch jeden Datenschutz. Die 
„Einwilligung“, hierzu, die zumindest 
theoretisch nach geltendem deutschen 
und auch zukünftigem europäischem 


Datenschutzrecht möglich wäre, bedarf 
der ausdrücklichen Zustimmung. Diese 
wird nicht nur rechtswidrig unterstellt, 
sondern erfüllt auch nicht die Voraus- 
setzungen, unter denen eine solche Zu- 
stimmung wirksam wäre, nämlich Frei- 
willigkeit, Transparenz und jederzeitige 
Rückholbarkeit über den Umfang der 
Datenerhebung und ist somit rechtswid- 
rig. So heißt es weiter: 

„Alle Kommunikationen, angeforder- 
tes Feedback und andere Materialien, 
die an den Service gesendet wurden (per 
E-Mail oder auf sonstigem Wege), wer- 
den als nicht vertraulich und nicht urhe- 
berrechtlich geschützt behandelt. Indem 
Sie an den Service Material schicken, 
verzichten Sie auf alle Ansprüche im 
Hinblick darauf, dass durch die Verwen- 
dung dieses Materials eines Ihrer Rechte 
verletzt wird, einschließlich moralischer 
Rechte, Datenschutzrechte, Eigentums- 
rechte, Öffentlichkeitsrechte, Rechte für 
Materialien oder Ideen zu beanspruchen 
oder jedes andere Recht, einschließlich 
des Rechts, dass dieses Material nur 
durch Ihre vorherige Zustimmung ver- 
wendet werden darf. Darüber hinaus 
gewähren Sie uns und allen Nachfolgern 
eine dauerhafte, gebührenfreie weltwei- 
te Lizenz, um diese eingesandten Infor- 
mationen in allen heute bekannten oder 
danach entwickelten Medien zu verwen- 
den, zu übertragen, zu kopieren und an- 
zuzeigen und erklären, dass Sie über alle 
notwendigen Rechte solcher Veröffentli- 
chungen verfügen. 

Für alle Materialien oder Informa- 
tionen (einschließlich, jedoch nicht 
beschränkt auf solche kreativer, finan- 
zieller, geschäftlicher und kommerziel- 
ler Art usw.), die auf irgendeine Weise 
eingereicht werden, muss keine weitere 
Vergütung oder Entschädigung geleistet 
werden.“ 

Damit handelt es sich bei „Pokemon 
Go“ vermutlich um nichts anderes, als 
eine systematische, illegale Aneignung 
von Informationen und den organisierten 
Bruch von Grundrechten im großen Stil. 
Es ist schon erstaunlich, dass sich darü- 
ber im Zeitalter, in dem Kanzlerin Mer- 
kel in Zusammenhang mit „BIG DATA“ 
vom „Heben des Datenschutzes“ spricht, 
scheinbar niemand an solchen Unterneh- 
mungen zur illegalen Aneignung per- 
sonenbezogener Daten Anstoß nimmt. 
Dass dieser datenkriminelle Überfall so 
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unbemerkt wie öffentlich und offensicht- 
lich erfolgreich stattfinden kann, zeigt, 
dass weder die politische Sensibilität, 
noch die in Kindergarten, Schule, oder 
Hochschule erworbenen Kenntnisse über 
die Wirklichkeit des Informationszeital- 
ters ausreichen, um die Tragweite dessen 
abzuschätzen, was unter dem Deckmän- 
telchen eines naiven Kinderspiels als An- 
griff auf die Privatsphäre von Hundert- 
tausenden daher kommt. 

So rücksichtslos und dreist die kom- 
merziellen Datendiebe den „Spielern“ 
gegenüber treten, sind sie bezüglich der 
eigenen Verantwortung und hinsicht- 
lich möglicher Fehler ihrer Software 
auf Diskretion bedacht:... „Es ist eben- 
falls wichtig für den Erfolg einer Reihe 
unserer Services, dass alle Fehler oder 
Probleme an Pok&mon vertraulich an 
den Pok&mon-Kundendienst berichtet 
werden, damit wir uns darum so schnell 
wie möglich kümmern können. Sie erhal- 
ten Informationen darüber, wie Sie uns 
kontaktieren, wenn Sie support-de.poke- 
mon.com besuchen. Und auch an mögli- 
che Kritiker des gesamten Unterfangens 
wurde gedacht, denn weiter lauten die 
„Nutzungsbedingungen“: „Meinungen, 
Ratschläge und alle weiteren Informatio- 
nen Dritter über den Service stellen deren 
eigene Ansichten dar und nicht die von 
Pokemon. Sie sollten sich nicht auf sol- 
che Meinungen, Ratschläge oder weitere 
Informationen einlassen.“ 

Na denn. Die dümmsten Kälber wäh- 
len sich bekanntlich ihren Schlächter 
selber und falls jemand sie darauf auf- 
merksam machen sollte, was sie da gera- 
de tun, mögen sie doch bitte nicht darauf 
hören. Statt dessen sei empfohlen, doch 
zumindest die „Datenschutzerklärung“ 
vom 19. April 2016 einmal genauer 
nachzulesen. Dort wird deutlich, dass 
die Spielbetreiber neben personenbezo- 
genen Daten wie Name, Adresse und Te- 
lefonnummer die IP-Adresse, den Inter- 
netprovider und Standortinformationen 
sammeln. Außerdem erlauben sich die 
Herausgeber: „,... auf Twitter, Instagram 
oder YouTube hochgeladene Bilder, die 
ein festgelegtes Hashtag enthalten, zu 
teilen. Indem Sie Ihrem Bild dieses Tag 
hinzufügen, erlauben Sie uns, Ihr Bild 
nach Belieben öffentlich auf einer unse- 
rer Internetseiten zu zeigen. 

Und weiter in den Datenschutzbe- 
stimmungen: „Darüber hinaus behal- 
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ten wir uns außerdem vor, andere Ar- 
ten nicht personenbezogener Daten zu 
erheben (so genannte demografische 
Daten), beispielsweise Ihr Alter und/ 
oder Geburtsdatum, Geschlecht, das 
Land, in dem Sie leben, Hobbys so- 
wie Spielzeug und Spielvorlieben. Die 
demografischen Daten könnten mit Ih- 
ren personenbezogenen Daten in Ver- 
bindung gebracht werden.“ Was wohl 
beruhigend klingen soll, stellt nichts 
anderes als eine Verknüpfung von Leis- 
tung und Datenerhebung dar. So ist es 
datenschutzrechtlich verboten, etwa die 
Teilnahme an einem Preisausschreiben 
an die Nutzung der personenbezogenen 
Daten für Werbung zu knüpfen. Ganz 
anders sehen das die Spielmacher: „Wir 
vergeben, verkaufen oder verleihen Ihre 
personenbezogenen Daten nicht ohne 
Ihre vorherige Zustimmung an Drit- 
te.“... „Wenn Sie es allerdings vorzie- 
hen, personenbezogene Informationen 
nicht offen zu legen, werden Sie nicht in 
der Lage sein, bestimmte Eigenschaften 
unserer Dienstangebote zu nutzen.“ So 
einfach ist das. Und schon rennen tau- 
sende von „Spielern“ durch die Land- 
schaft, gefährden dabei nicht selten sich 
selbst und Dritte und verschenken ihre 
Daten an einen Konzern. 

Nicht genug, dass Google und Face- 
book Profile von ihren Nutzern erstel- 
len und damit immer noch permanent 
gegen Europäisches und deutsches 


Cartoon 


ICH HABE JETZT 
SCHON 35 POKEMON 
GEFANGEN, DIE IMMER 
STÄRKER WERDEN... 


Datenschutzrecht verstoßen. Auch der 
neueste kriminelle Akt von WhatsApp, 
die Telefonnummern seiner Kunden 
einfach mal dem Mutterkonzern Face- 
book zu schenken, scheinen die Nutzer 
irgendwie zu verunsichern. Lediglich 
der belgische EU-Abgeordnete Marc 
Tarabella hat die EU-Kommission zum 
Handeln aufgefordert und Jan-Phillip 
Albrecht, Grüner Europapolitiker, hält 
es für „alarmierend, wie viele Daten von 
der App via Handy gesammelt werden.“ 
Von der Bundesbeauftragten für den Da- 
tenschutz hört man zu diesem brisanten 
Thema keinen Pieps. 

Aller Ratschläge von Experten vom 
Bundesamt für Sicherheit in der In- 
formationstechnik, den Datenschutz- 
beauftragten oder Warnungen Edward 
Snowdens zum Trotz ist die Bereitschaft 
der Menschen, mit personenbezogenen 
Daten für die zweifelhaftesten Spiele 
zu bezahlen, riesig. Was bringt sie dazu, 
offensichtlich aller natürlichen Vorsicht 
und erlernter Instinkte sich zu entblö- 
ßen? Wer würde schon, mitten in der 
Nacht von einem amerikanischen Unter- 
nehmen angerufen, am Telefon bereit- 
willig Auskunft über seinen Wohnort, 
Aufenthalt, Vorlieben, Konsumgewohn- 
heiten, Hobbys und Interessen geben? 
Vermutlich niemand. 

Man muss sich nur als Pokemon ver- 
kleiden und ein „Spiel“ vortäuschen. 
Dann klappt auch das sofort. 


ICH FINDE, ES MÜSSTE EINE 
SOFTWARE GEBEN, DIE 
ÜBERWACHUNGSBESESSENE 
POLITIKER FÄNGT UND 
SCHWÄCHT... 
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Datenschutznachrichten aus Deutschland 


Bund 


Große Koalition zieht 
Anti-Terror-Gesetz durch 


Im Eiltempo brachten die Koaliti- 
onsfraktionen von Union und SPD ein 
Anti-Terror-Paket durch das Gesetzge- 
bungsverfahren, mit dem Polizei und 
Geheimdienste zusätzliche Befugnisse 
zugestanden werden. Die Opposition im 
Bundestag spricht von einem weiteren 
Angriff auf die Grundrechte und beklagte 
ein übereiltes Verfahren. Wer eine Pre- 
paid-Karte fürs Handy kaufen will, muss 
dazu künftig einen Ausweis vorlegen. 
Die Regelung gehört zum neuen Anti- 
Terror-Gesetzespaket, das der Bundestag 
am 23.06.2016 mit den Stimmen der Ko- 
alitionsfraktionen und der Bundesrat am 
08.07.2016 in Berlin beschlossen. Der 
Bundesrat verzichtete, den Entwurf in 
den Vermittlungsausschuss zu schicken. 
Der Austausch von Geheimdienstinfor- 
mationen soll ausgeweitet werden. Die 
Bundespolizei soll künftig leichter ver- 
deckte Ermittler einsetzen dürfen. Der 
Bundestag hatte den Regierungsentwurf 
noch an mehreren Punkten verschärft. 
Folgende Änderungen werden Gesetz: 

Informationsaustauschh Die deut- 
schen Geheimdienste sollen in Zukunft 
gemeinsame Dateien mit „wichtigen 
ausländischen Nachrichtendiensten“, 
insbesondere aus Nachbarstaaten und 
anderen EU- oder Nato-Ländern, einrich- 
ten können. An die Stelle des bisherigen 
Einzeldatenaustauschs wird es künftig 
eine systematische Datenkooperati- 
on geben. Ziel ist, mehr Informationen 
über Terrorverdächtige zu teilen. Trotz 
des NSA-Skandals wird damit der teils 
sehr umfangreiche Datenaustausch von 
Bundesnachrichtendienst (BND) und 
Bundesamt für Verfassungsschutz (BfV) 
z. B. mit US-Diensten wie die National 
Security Agency (NSA) oder die Central 
Intelligence Agency (CIA) legalisiert. 
Auch der Informationsaustausch der Si- 
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cherheitsbehörden in Deutschland zur 
Terrorismusbekämpfung soll ausgeweitet 
werden. In seinem Urteil zum BKA-Ge- 
setz hatte das Bundesverfassungsgericht 
am 20.04.2016 angemahnt, man dürfe 
nicht Menschenrechtsverletzungen, wie 
sie selbst aus Sicht der Bundesregierung 
von NATO-Partnern wie den USA oder 
der Türkei erfolgen, „die Hand reichen“. 

Die EU-Staaten bauen gerade zwei 
große Datenpools für den Anti-Terror- 
Kampf auf. Unter dem Dach von Euro- 
pol in Den Haag tauschen die Polizei Er- 
kenntnisse in einem European Counter- 
Terrorism Centre (ECTC) aus. Und vom 
01.07.2016 an erfolgt auch eine Aus- 
tausch der Geheimdienste in einem Pool, 
den der niederländische Geheimdienst 
in einem Haager Vorort betreut (Counter 
Terrorism Group - CTG). 

Verdeckte Ermittler bei der Bundes- 
polizei: Das Bundeskriminalamt (BKA) 
setzt schon lange verdeckte Ermittler ein, 
also Beamte, die sich mit falscher Identi- 
tät in kriminelle Zirkel einschleichen, um 
dort Informationen zu sammeln. Künftig 
soll das auch der Bundespolizei (BPol) 
erlaubt sein. Ziel ist vor allem ein Zugang 
zur Schleuser-Szene. Bisher war der 
BPol für spezielle Delikte der Underco- 
ver-Einsatz von Beamten erlaubt, wenn 
eine konkrete Straftat ermittelt werden 
sollte. Künftig bedarf es keines Ermitt- 
lungsverfahrens mehr und die BPol kann 
präventiv Ermittler einschleusen. 

Prepaid-Handys: Künftig soll es nur 
noch dann möglich sein, eine Prepaid- 
Karte für ein Handy zu kaufen, wenn 
man ein Ausweisdokument vorlegt. Be- 
reits heute müssen Telekommunikations- 
anbieter bestimmte Daten wie Name, An- 
schrift und Geburtsdatum von Prepaid- 
Kunden erheben. Laut Regierung funk- 
tioniert die Prüfung der Identität bisher 
aber nicht. Polizei und Geheimdienste se- 
hen es als Risiko, dass Terrorverdächtige 
und Kriminelle solche Handy-Karten an- 
onym nutzen und nicht nachverfolgt wer- 
den können. Die Telekommunikationsfir- 


men bekommen eine Übergangsfrist von 
zwölf Monaten, um ihre Prozesse an die 
neue Regelung anzupassen. 

Jugenddatenbanken: Das BfV darf 
zudem künftig Daten jugendlicher „Ge- 
fährder“, die sich hierzulande radikali- 
siert haben oder etwa nach Syrien aus- 
reisen wollen, schon von 14 statt bisher 
16 Jahren an sammeln; gelöscht werden 
die Daten in der Regel nach zwei Jahren. 
Bei Jugendlichen zwischen 16 und 18 
bleibt es bei der Regel-Löschungsfrist 
von fünf Jahren. 

Die Spitzen von Union und SPD hatten 
sich Mitte April 2016 als Reaktion auf 
die jüngsten Terroranschläge in Paris und 
Brüssel auf die Pläne geeinigt. Politiker 
von Union und SPD verteidigten die Pläne 
als dringend notwendig für den Anti-Ter- 
ror-Kampf. Hier dürfe es keinen Aufschub 
geben. Der Bundesinnenminister recht- 
fertigte den Entwurf: „Wissen ist Macht, 
und wir wollen den Terrororganisationen 
machtvoll begegnen. Dazu gehört, dass 
wir unser Wissen miteinander teilen.“ 

Linke und Grüne beschwerten sich 
vehement über die Eile im parlamenta- 
rischen Verfahren und zerpflückten das 
Paket. Die Linke-Innenolitikerin Ulla 
Jelpke sagte, das Gesetz sei ein „wei- 
terer Angriff auf die Grundrechte“ und 
werde unter dem Deckmantel der Ter- 
rorbekämpfung „mal eben so“ durch das 
Parlament „gepusht“. Der Grünen-Abge- 
ordnete Konstantin von Notz sprach von 
einem unzureichenden Eilverfahren. Die 
Pläne seien unverhältnismäßig, verfas- 
sungswidrig, grundrechtsgefährdend und 
unbrauchbar für die Terrorbekämpfung: 
„Es ist eine Mogelpackung. Sie schrei- 
ben Anti-Terror drüber, aber es steht al- 
les Mögliche drin.“ Deutliche Kritik kam 
auch von Datenschützern. Die vorgese- 
henen ‚„Verbund-Dateien“ bedeuteten 
einen brisanten „Quantensprung nach 
vorn“ beim Informationsaustausch der 
Sicherheitsbehörden (Prepaid-Karten- 
Kauf nur noch mit Ausweis, www.n-tv. 
de 24.06.2016; Peters, Peters, Prepaid- 


DANA » Datenschutz Nachrichten 3/2016 


Karten künftig nur noch mit Ausweis, 
SZ 02.06.2016, 1; Steinke, Meine Daten, 
deine Daten, SZ 24.06.2016, 5; Krempl, 
Aus für anonyme SIM-Karten, www. 
heise.de 08.07.2016). 


Bund 


Regierung plant Ent- 
schlüsselungsbehörde 
Zitis 


Die Bundesregierung will eine neue 
Behörde unter dem Namen „Zentrale 
Stelle für Informationstechnik im Si- 
cherheitsbereich“ (Zitis) einrichten, die 
Verschlüsselung und eigentlich abhörsi- 
chere Kommunikationstechnik knackt. 
Sicherheitsbehörden und Geheimdienste 
sollen darüber angesichts der steigenden 
Beliebtheit von Verschlüsselungstechni- 
ken in die Lage versetzt werden, Kom- 
munikation mitlesen zu können. Das 
Bundesinnenministerium und das Kanz- 
leramt haben mit ihren Staatssekretä- 
ıInnen Emily Haber und Klaus Vitt den 
Abgeordneten der Koalitionsfraktionen 
am 23.06.2016 die Pläne vorgestellt. 
Demnach wolle die Bundesregierung 
zwar keine Pflicht zur Schwächung von 
Kryptographie oder zur Einführung von 
Hintertüren, aber auch nicht auf den Zu- 
griff auf Kommunikation verzichten. 

Zitis soll bereits 2017 ihre Arbeit auf- 
nehmen und als Dienstleister der Bun- 
despolizei, dem Bundeskriminalamt und 
dem Verfassungsschutz zuarbeiten. Um 
die gebotene Trennung zwischen Polizei 
und Geheimdiensten nicht zu umgehen, 
soll Zitis nicht selbst überwachen. Die 
Bundesländer sollen nach Etablierung 
der Behörde andocken können. Bis 2022 
soll die Behörde 400 Mitarbeiter beschäf- 
tigen; Gesucht werden dafür vor allem 
IT-SpezialistInnen, die Techniken entwi- 
ckeln, um Verschlüsselung zu umgehen, 
oder diese einkaufen beziehungsweise 
von befreundeten Staaten beschaffen. 
Das bezieht sich offenbar auf Sicher- 
heitslücken, die von Herstellern noch 
nicht entdeckt wurden (,„Zero-Days‘), 
wie sie beispielsweise von der US-Bun- 
despolizei FBI im Fall des iPhones der 
Attentäterinnen von San Bernardino ge- 
nutzt wurden (vgl. DANA 2/2016, 99 ff.). 

Grund für den Schritt ist offenbar die 
zunehmende Verbreitung von Verschlüs- 
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selungstechnik, auch als Standards bei 
Kommunikationsdienstleistern wie z. B. 
WhatsApp, die selbst keinen Zugriff 
mehr auf Inhalte haben. Für Sicher- 
heitsbehörden wird es dadurch offenbar 
schwieriger, Kommunikation mitzulesen. 
Die Bundesregierung bekennt sich dem- 
nach entgegen früherer Aussagen von In- 
nenminister Thomas de Maiziere zur Ver- 
schlüsselung als Kommunikationsschutz, 
will aber selbst nicht außen vor bleiben. 
Es sei auch nicht mehr geplant, Telekom- 
munikationsanbieter zur Herausgabe von 
Kommunikationsdaten zu verpflichten 
und auch keine Hintertüren — die die Si- 
cherheit insgesamt beeinträchtigen — zu 
fordern. Schon 2008 hatte der damali- 
ge Innenminister Wolfgang Schäuble 
mit seinem Staatssekretär August Han- 
ning eine ähnliche Idee verfolgt, die als 
„Mini-NSA“ verspottet und von seinem 
Nachfolger de Maiziere zunächst nicht 
weiter verfolgt worden war. Das Bun- 
desinnenministerium versichert, dass es 
das alte Konzept gründlich überarbeitet 
habe. So sei z. B. der Bundesnachrichten- 
dienst (BND) nicht mehr an Zitis betei- 
ligt, obwohl der BND wohl bisher beim 
Knacken von Verschlüsselungstechnik 
die größten Erfahrungen haben dürfte. 
Der BND will auch gar nicht dabei sein, 
weil er vermeiden möchte, in Strafver- 
fahren vor Gericht erläutern zu müssen, 
wie er Codes knackt. Die Bundesregie- 
rung will bei der Etablierung von Zitis 
auf ein Gesetz verzichten, wohl auch, um 
einer Debatte im Bundestag zu entgehen. 
Ein schlichter Errichtungserlass soll ge- 
nügen. Für das Jahr 2017 ist bereits ein 
niedriger zweistelliger Millionenbetrag 
vorgesehen, mit dem kurzfristig Personal 
eingestellt werden kann (Mascolo/Rich- 
ter, Stets zu Diensten, SZ 24.06.2016, 
5; Holland, Crypto Wars: Neue Bundes- 
behörde soll Verschlüsselung knacken, 
www.heise.de 23.06.2016). 


Bund 


AfD-Parteitags-Teilnah- 
meliste im Internet 


Die linksradikale Seite „Linksunten. 
Indymedia“ hat die Adressen von über 
2.100 Teilnehmenden des AfD-Pro- 
grammparteitags in Stuttgart am 1. Mai- 
Wochenende 2016 im Internet veröffent- 


licht. Wie die Anmeldeliste zum Partei- 
tag, in der Post- und E-Mail-Adressen, 
Telefon- und Handynummern, Geburts- 
daten und Mitgliedsnummern verzeich- 
net sind, in die Hände von „Linksunten. 
Indymedia“ gelangte, ist bislang unklar. 
AfD-Vorstandssprecher Jörg Meuthen 
kündigte vor den Mitgliedern eine in- 
terne Untersuchung an. Diese sei bereits 
eingeleitet worden. Zudem werde man 
auch strafrechtlich vorgehen, erklärte er 
unter dem Applaus der Mitglieder: „Das 
schafft erhebliche Unruhe, und diese 
Unruhe ist nachvollziehbar.“ Meuthen 
forderte Bundesjustizminister Heiko 
Maas (SPD) auf, mit derselben „Inten- 
sität gegen linksradikale Websites vor- 
zugehen wie gegen rechtsradikale“. Die 
Seite von „Linksunten. Indymedia“ müs- 
se blockiert werden. Die Veröffentli- 
chung der Adressenliste sei „kein Spiel- 
chen“. Es könne nicht angehen, dass den 
Mitgliedern einer demokratischen Partei 
auf der Seite sogenannte Hausbesuche 
angedroht würden. 

In den Forumsbeiträgen der 
„Linksunten“-Seite wird die Veröffentli- 
chung kontrovers debattiert. Der Eintrag 
eines Nutzers („Wenn wir diese 2000 
Menschen beseitigt haben, dann können 
wir endlich in Frieden leben“) wurde 
von einem anderen Nutzer als „dumm“ 
und „gefährlich“ kommentiert. Es ist 
nicht das erste Mal, dass Adressen von 
AfD-Mitgliedern auf der linksradikalen 
Seite veröffentlicht wurden. Dies ge- 
schah bereits zum Bremer AfD-Mitglie- 
derparteitag im Frühjahr 2015. 

Eine erste Übersicht der jetzigen Ad- 
ressliste zeigt, dass diese nicht vollstän- 
dig ist. So sind viele Adressen führender 
AfD-Bundes- und Landesvorstands- 
mitglieder nicht enthalten, bis auf die 
Potsdamer Landtagsadresse und Tele- 
fonnummer von AfD-Vize Alexander 
Gauland. Meuthen hatte während des 
Parteitags, bei dem das Datenleck be- 
kannt wurde, die Mitglieder gebeten, 
dieses nicht mit Geschäftsordnungsan- 
trägen zu thematisieren. Dies würde zu 
Verzögerungen des Parteitags führen 
und damit erreichen, was die Macher 
von „Linksunten. Indymedia“ bezweckt 
hätten: „Lassen Sie uns nicht aus dem 
Tritt kommen.“ Die Mitglieder folgten 
dem Appell: Nach einer kurzen Debat- 
te wurde der Parteitag fortgesetzt (Wei- 
land, Teilnehmerliste von AfD-Parteitag 
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im Netz veröffentlicht, www.spiegel.de 
01.05.2016; Ehrmann, Datenleck: Teil- 
nehmerliste von AfD-Parteitag im Netz 
aufgetaucht, www.heise.de 01.05.2016). 


Bundesweit 


Pflegedienste entziehen 
sich mit Verweis auf 
Datenschutz der Kontrolle 


Ambulante Pflegedienste in Bayern, in 
Hessen, Rheinland-Pfalz und wohl auch 
in anderen Bundesländern legen Pflege- 
bedürftigen in den letzten Monaten - oft 
gleich zu Beginn der Pflegebedürftigkeit, 
sozusagen als Beigabe zum Behand- 
lungsvertrag — Texte zur Unterschrift vor, 
die z. B. folgenden Inhalt haben: „Hier- 
mit widerspreche ich der Weitergabe mei- 
ner personenbezogenen Daten inklusive 
meiner Telefonnummer an den Medizi- 
nischen Dienst der Krankenversicherung 
zur Verwendung bei ihrer Qualitätsprü- 
fung.“ Für Stefan Gronemeyer, stellver- 
tretender Geschäftsführer der Dachorga- 
nisation der Medizinischen Dienste der 
Krankenversicherung (MDKs), ist dies 
keine zielgerichtete Wahrnehmung von 
Patientenrechten, sondern eine Behinde- 
rung der Kontrolle der Pflegedienste. Ge- 
setzliche Aufgabe der MDKs ist es nicht 
nur, die Pflegebedürftigkeit von Alten 
und Kranken festzustellen, sondern auch, 
die Qualität von Pflegeheimen und am- 
bulanten Pflegediensten zu überwachen. 

Widerspricht einE PatientIn einer Da- 
tenweitergabe, nimmt sie sich aus der 
vorgeschriebenen Prüfung heraus, mit 
der möglichen Folge, dass es niemandem 
auffällt, dass die eigene Pflege nicht fach- 
gerecht ist, von unqualifiziertem Personal 
ausgeführt wird oder Leistungen nicht 
erbracht worden sind. Für den MDK, so 
Gronemeyer, sind die Erklärungen nicht 
akzeptabel: „Das ist so, als wenn ein Re- 
staurantgast verfügt, dass die Lebensmit- 
telaufsicht die Küche der Gaststätte nicht 
mehr betreten darf“. Das Persönlichkeits- 
recht werde „missbraucht“, um mög- 
lichem Betrug und Schlampereien die 
Tür zu öffnen. So wurde im April 2016 
bekannt, dass vor allem in Berlin am- 
bulante Pflegedienste bei der häuslichen 
Kranken- und Intensivpflege offenbar in 
erheblichem Umfang Geld erschlichen 
haben. 
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Die von Pflegediensten den Pflegebe- 
dürftigen vorgelegten Widerspruchser- 
klärungen sind anscheinend seit Herbst 
2015 im Umlauf. Lässt ein Pflegedienst 
seine KundInnen systematisch entspre- 
chende Papiere unterzeichnen, so kann 
er sich bisher ganz der gesetzlichen Kon- 
trollpflicht entziehen: Um die Qualität 
der Pflege zu bewerten, verlangt man 
zunächst eine Liste aller betreuten Perso- 
nen, so Ottilie Randzio vom MDK Bay- 
ern. Etwa 10% würden dann als Stichpro- 
be zufällig ausgewählt. Wer einer Daten- 
weitergabe widersprochen hat, landet gar 
nicht erst auf dieser Liste. Im äußersten 
Fall bleibt sie leer. 

Der pflegepolitische Sprecher der Uni- 
onsfraktion im Bundestag, Erwin Rüddel 
(CDU), will das Problem dadurch lösen, 
dass die Pflegebedürftigen in die Pflicht 
genommen werden: „Wer Leistungen 
aus der Pflegeversicherung erhält, muss 
auch bereit sein, sie auf ihre Qualität 
hin überprüfen zu lassen. Wer dem nicht 
zustimmt, hat sein Recht verwirkt, Leis- 
tungen zu bekommen“. Die bayerische 
Pflegeministerin Melanie Huml (CSU) 
argumentiert ähnlich: „Niemand kann 
von der Pflegeversichertengemeinschaft 
erwarten, dass sie dauerhaft Kosten für 
Leistungen übernimmt, bei denen sie 
nicht kontrollieren kann, ob oder wie 
sie durchgeführt wurden“. Stefan Gro- 
nemeyer vom Dachverband der MDKs 
hält das für den falschen Weg: „Die Pfle- 
gebedürftigen sind ja hier die Geschä- 
digten“. Besser sei es, wenn pauschale 
Widersprüche, die den PatientInnen von 
den Pflegediensten vorgelegt werden, als 
unwirksam behandelt werden. Wer nicht 
wolle, dass an ihm oder ihr eine Kon- 
trolle der Pflege stattfinde, müsse dies 
den Prüfenden direkt erklären (Becker, 
Versteckt hinter dem Datenschutz, SZ 
04.08.2016, 5). 


Baden-Württemberg 


Antisemitische Druckauf- 
träge aus den USA 


Hacker haben im einen Angriff auf 
das digitale Netz der Universität Tübin- 
gen am 20.04.2016, dem Geburtstag von 
Adolf Hitler, Drucker veranlasst, ein an- 
tisemitisches Pamphlet auszudrucken, 
das mit „Deutschland erwache‘“ über- 


schrieben war und gegen Juden hetzte. 
Die Staatsanwaltschaft Tübingen erklär- 
te, polizeiliche Spezialisten hätten die 
Druckaufträge einer aus den USA stam- 
menden IP-Adresse zugeordnet. Ähnli- 
che Ausdrucke fanden sich an anderen 
Universitäten. Ein Ermittler meinte, es 
sei „für geübte Hacker kein Problem“, 
auf ungesicherte, über das Internet an- 
zusteuernde Drucker zuzugreifen (Der 
Spiegel 24/2016, 37). 


Berlin 


AfD-Storch-Politseiten 
werden überprüft 


Die Berliner Beauftragte für Daten- 
schutz und Informationsfreiheit (BlnBDI) 
Maya Smoltczyk hat der AfD-Vizechefin 
Beatrix von Storch wegen des Verdachts 
von Datenschutzverstößen bei deren 
Geflecht von Internetseiten, zu denen 
Abgeordneten-check.de und Civilpeti- 
tion.de gehören, einen umfangreichen 
Ermittlungskatalog zugesendet, in dem 
u. a. gefragt wird: „Auf welcher Rechts- 
grundlage übermitteln Sie personenbezo- 
gene Daten ..., wenn eine Einwilligung 
der Betroffenen nicht vorliegt?“. Geprüft 
wird u. a., ob Storch sensitive Daten ohne 
Zustimmung an kommerzielle Newslet- 
ter-Anbieter weitergibt und ob es stimmt, 
dass AbonnentInnen eines Mail-Verteilers 
ungefragt Nachrichten anderer Storch- 
Vereine erhielten. Die Datenschutzbehör- 
de prüft zudem, wie und zu welchen Zwe- 
cken Storch Nutzungsdaten verarbeitet. 
Die Seite Abgeordneten-check.de habe 
„bis vor kurzer Zeit keine Datenschutzer- 
klärung“ enthalten, so einer der kritischen 
Punkte. Anlass der Kontrolle ist eine Be- 
schwerde der Netzaktivistin Katharina 
Nocun aus Berlin, auf Grund der es schon 
zu einigen Änderungen auf den Storch- 
Seiten gekommen ist (Datenschützer prü- 
fen Storch, Der Spiegel 24/2016, 38). 


Hamburg 


Datenschutzbeauftragter 
bekommt Verfassungsrang 


Die Hamburgische Bürgerschaft hat am 


14.07.2016 die Hamburgische Landesver- 
fassung geändert und dort die Selbstän- 
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digkeit des Hamburgischen Beauftragten 
für Datenschutz und Informationsfreiheit 
(HmbBfDI) verankert. Die Stelle des 
HmbBfDI wird damit nach Maßgabe des 
EU-Rechts „völlig unabhängig“ — außer- 
halb der senatsunmittelbaren Verwaltung 
ohne eine organisatorische Anbindung an 
eine aufsichtführende Stelle. 

Art. 60a Abs. 3 S. 1 u. 2 HmbVerf lautet 
nun: „Die Bürgerschaft wählt die Ham- 
burgische Beauftragte beziehungsweise 
den Hamburgischen Beauftragten für 
Datenschutz und Informationsfreiheit mit 
der Mehrheit ihrer gesetzlichen Mitglie- 
der. Vorschlagsberechtigt für die Wahl 
sind die Fraktionen der Bürgerschaft.“ 

Neben der umfassenden rechtlichen 
und organisatorischen Selbständigkeit 
auf dem Gebiet des Datenschutzes wird 
durch die Verfassungsänderung zudem 
das Informationsfreiheitsrecht in Ham- 
burg institutionell gewährleistet. Damit 
geht Hamburg, das mit seinem Trans- 
parenzgesetz bereits eine Vorreiterrolle 
übernommen hat, einen weiteren Schritt 
voran: Die Existenz der Informations- 
freiheit wird künftig von der Verfassung 
selbst geschützt und kann nicht mehr 
durch einfaches Gesetzesrecht beseitigt 
werden. 

Dazu erklärte der HmbBfDI Johannes 
Caspar: „Meinem Amt wird nicht nur 
ein stärkeres Gewicht bei der aufsichts- 
behördlichen Kontrolle verantwortlicher 
Stellen verliehen, sondern auch ein Mehr 
an Verantwortung beim Schutz der digi- 
talen Grundrechte. Gleichzeitig führt die 
Schaffung von zentralen Ernennungs-, 
Frage- und Kontrollrechten der Bürger- 
schaft zu einer Intensivierung der demo- 
kratischen Legitimation und der Transpa- 
renz des Amtes. Nach der rechtlichen und 
organisatorischen Verselbständigung des 
Beauftragten für Datenschutz und Infor- 
mationsfreiheit gilt es nun, eine bessere 
personelle Ausstattung der Behörde als 
materielle Basis für eine unabhängige 
Amtsführung zu schaffen“ (PE HmbBf- 
DI 15.07.2016, Hamburgs Datenschutz- 
behörde wird autonom). 


NRW 


Finanzverwaltung gibt 
Kontodaten an auslän- 
dische Steuerbehörden 
weiter 


Nordrhein-Westfalen (NRW) stell- 
te im August 2016 19 europäischen 
Ländern insgesamt mehr als 100.000 
verdächtige Kontodatensätze zur Ver- 
fügung. Landesfinanzminister Norbert 
Walter-Borjans (SPD) teilte mit, dass 
die Informationen, die der Steuerfahn- 
dung seines Bundeslands teils anonym 
zugespielt worden waren, die Kon- 
ten bei Banken in Luxemburg und der 
Schweiz betreffen. Zudem bekommen 
die europäischen Steuerbehörden nun 
Zugriff auf brisante Vertriebsinformati- 
onen einer Großbank. Steuerbetrügern 
müsse klar sein, dass immer mehr Ver- 
stecke für ihr Schwarzgeld auffliegen. 
Die Gefahr, entdeckt zu werden, steige. 

Die nordrhein-westfälische Finanz- 
verwaltung hatte bereits im April 2016 
umfangreiche Daten an 27 Staaten wei- 
tergegeben. Dabei handelte es sich um 
Tausende verdächtige Konten ausländi- 
scher Privatleute und Unternehmen mit 
einem Anlagevolumen von insgesamt 
bis zu 100 Milliarden Schweizer Fran- 
ken (rund 93 Milliarden Euro). Im Au- 
gust ging es laut Walter-Borjans um drei 
Datenpakete. Wie viel an Volumen da- 
hintersteckt und wie viel sich am Ende 
als illegal herausstellt, könne man noch 
nicht sagen. Klar sei aber: Zu einem gro- 
ßen Teil handele es sich um „nicht kor- 
rekt versteuerte Konten.“ 

Auf einer Festplatte, die anonym an 
die Steuerfahndung Wuppertal ging, 
finden sich fast 160.000 verdächtige 
Konto-Informationen bei einer Bank in 
Luxemburg. Den Löwenanteil — mehr 
als 54.000 Fälle — bearbeiten bereits 
ExpertInnen aus NRW und anderen 
Bundesländern, weil es um Anleger aus 
Deutschland geht. Die anderen Fälle 
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betreffen etwa Menschen aus den Nie- 
derlanden, Italien, Spanien oder Grie- 
chenland, „die großen Brocken“ machen 
Belgien und Frankreich aus. 

Ein zweites Infopaket besteht aus An- 
gaben über Stiftungen bei einer Schwei- 
zer Bank. Neben Deutschland sind dort 
sieben weitere europäische Staaten ge- 
listet. Die Infos hatte NRW als „Ergän- 
zung einer früheren Datenlieferung“ 
von der französischen Steuerfahndung 
erhalten (NRW gibt verdächtige Konto- 
daten an 19 Länder weiter, www.spiegel. 
de 05.08.2016). 


NRW 


Polizistin spioniert Kolle- 
gInnen für Fernsehbericht 
aus 


Die Staatsanwaltschaft Köln ermittelt 
u. a. gegen eine 26-jährige Polizistin, die 
ihre KollegInnen einer Einsatzhundert- 
schaft heimlich bei der Arbeit gefilmt 
hat. Mitgliedern des zweiten Zuges der 
15. Einsatzhundertschaft war Anfang 
August 2016 ein Passant aufgefallen, 
der die Hundertschaft unauffällig zu 
fotografieren versuchte. Mitglieder der 
Hundertschaft erinnerten sich, dass der- 
selbe Mann ihnen schon zuvor aufgefal- 
len war. Bei einer Überprüfung stellte 
sich heraus, dass der Mann unmittelba- 
ren Kontakt zu einer Polizistin aus der- 
selben Hundertschaft hatte. Von ihren 
KollegInnen zur Rede gestellt, räumte 
die Polizistin die Zusammenarbeit ein. 
Ein Mitglied der Hundertschaft berich- 
tete: „Die war unter ihrer Uniform kom- 
plett verkabelt und hatte außen eine Ka- 
mera in der Größe eines Stecknadelkop- 
fes. Wir sind alle stocksauer über dieses 
unkameradschaftliche Verhalten.“ 

Die Kölner Polizei zeigte sich nicht 
nur verärgert, sondern auch verunsi- 
chert. Unmittelbar nach der Enttarnung 
der Polizistin wurden deshalb mehrere 
Kölner Dienstgebäude — ohne Ergebnis 
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— auf Wanzen durchsucht. Nach den bis- 
herigen Erkenntnissen war das Material 
für eine Filmproduktionsgesellschaft im 
Bereich des investigativen Journalismus 
gedacht gewesen. Oberstaatsanwalt Ul- 
rich Bremer erklärte, gegen den Mann 
und eine Journalistin werde wegen Bei- 
hilfe und Anstiftung zur Verletzung von 
Privatgeheimnissen ermittelt; gegen die 
Beamtin wurde ein Disziplinarverfahren 
eingeleitet. Die 26-Jährige werde zudem 
suspendiert. 

Die Kölner Polizei machte zuletzt 
mehrfach mit Affären und Skandalen 
Schlagzeilen. Im Sommer 2015 hatten 
Führungskräfte der Kölner Polizei ei- 
nen Polizeihubschrauber für ein privates 
Foto-Shooting benutzt. Wenig später 
flogen demütigende Aufnahmerituale ei- 
nes Kölner Spezialkommandos auf, das 
der damalige Kölner Polizeipräsident 
Wolfgang Albers danach auflöste. Nach 
dem eklatanten Versagen der Kölner Po- 
lizei in der Silvesternacht 2015/2016, 
in der Hunderte Frauen von Dutzenden 
Tätern überwiegend nordafrikanischer 
Herkunft auf einem Platz am Kölner 
Dom sexuell belästigt, bestohlen und 
bedrängt wurden, wurde Albers entlas- 
sen. Sein Nachfolger Jürgen Mathies 
versucht sich nun mit einem neuen Si- 
cherheitskonzept innerhalb der Polizei 
Respekt zu verschaffen. Im Fall der ak- 
tuellen Spionageaffäre will er besonders 
streng vorgehen, weil er nach den Que- 
relen um die SEK-Affäre und den Feh- 
lern der Polizei in der Silvesternacht die 
Solidarität unter den Beamten stärken 
will. Das Kölner Polizeipräsidium ist 
die mit Abstand größte Polizeibehörde 
in Nordrhein-Westfalen (Kölner Poli- 


zistin spionierte Kameraden aus, Poli- 
zistin filmt heimlich, www.rp-online.de 
05.08.2016; SZ 06./07.08.2016, 10). 


Thüringen 


Polizei zeichnete jahre- 
lang illegal eigene Telefo- 
nate auf 


Die Thüringer Polizei hat über Jahre 
vermutlich Zehntausende Diensttele- 
fonate heimlich und unerlaubt aufge- 
zeichnet. Es bestehe der Verdacht, dass 
Gespräche mit der Staatsanwaltschaft, 
mit Rechtsanwälten, Justizbeamten, 
Sozialarbeitern und Journalisten mitge- 
schnitten wurden, die dienstlich interne 
Polizeinummern angerufen hatten. Ein 
Sprecher des Innenministeriums bestä- 
tigte, dass nur Notrufe automatisiert auf- 
gezeichnet werden dürfen. Nach seiner 
Darstellung erfolgten die Mitschnitte 
von Gesprächen an Telefonen, die auch 
für die Annahme von Notrufen genutzt 
wurden. 

Wie weit die Überwachung ging, ist 
unklar. Offenbar überwachte die Poli- 
zei zahlreiche Anschlüsse dauerhaft in 
Polizeiinspektionen, Polizeidirektionen 
und im Landeskriminalamt. Die genau- 
en Hintergründe würden geprüft. Dabei 
gehe es insbesondere darum, wer das 
Mitschneiden und Speichern der Tele- 
fonate ohne Wissen und Zustimmung 
der Gesprächsteilnehmer zu verantwor- 
ten habe. Auch die Staatsanwaltschaft 
Erfurt wurde eingeschaltet, nachdem 
ein Staatsanwalt Strafanzeige erstattet 
hatte. Er hatte ein Telefonat mit einem 
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Weltweit 


Spotify vermarktet detail- 
lierte Nutzungsprofile 


Der schwedische Musik-Streaming- 
Dienst Spotify hat ein neues Programm 
für Werbekunden gestartet, damit diese 
ihre Audio-Werbeclips noch besser maß- 
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geschneidert auf bestimmte Zielgruppen 
zuschneiden und platzieren können. Das 
Mitte Juli 2016 eingeführte Programm 
nennt sich „Programmatic Buying“. Es 
ermöglicht Werbekunden den umfas- 
senden Einblick in die Daten der mehr 
als 70 Millionen Nutzenden des kos- 
tenlosen Dienstes „Spotify Free“, auf 
dem Werbung ausgespielt wird. Je nach 


Polizisten in Greitz geführt, an das es 
unterschiedliche Erinnerungen gab. Da- 
raufhin habe der Polizist gesagt, das Te- 
lefonat sei aufgezeichnet worden und er 
habe angeregt, man solle den Mitschnitt 
nutzen, um den Streit zu klären. 

Der Sprecher sagte, man gehe „nicht 
von böswilligem Abhören aus“. Eine 
Richtlinie habe 1999 festgelegt, dass 
fortan nur Notrufe oder Drohungen 
aufgezeichnet werden sollten. Ansons- 
ten müssten alle Gesprächspartner 
einer Aufzeichnung zustimmen. Die 
Kenntnis dieser Richtlinie musste jeder 
Polizeibeamte bestätigen. Nach 1999 
habe es keine Änderung der Technik 
gegeben, „die hätte erfolgen müssen“. 
Die Mitschnittsanweisung aus dem 
Innenministerium galt auch für drei 
Anschlüsse im Ministerium selbst. Sie 
wurde erst am 05.07.2016 außer Kraft 
gesetzt. Noch im April 2013 hatte die 
damalige schwarz-rote Landesregie- 
rung versichert, die Polizei zeichne nur 
Notrufe, Bedrohungen und Ankündi- 
gungen einer Straftat auf. Der Fall des 
Staatsanwalts fiel unzweifelhaft nicht 
darunter. Ihm gegenüber räumte die 
Landespolizeidirektion ein, es würden 
„relevante Informationen verschriftet“. 
Die Mitschnitte sollten laut Erlass nach 
90 Tagen gelöscht werden. Tatsächlich 
geschah dies zuletzt erst nach 180 Ta- 
gen. Der Thüringer Landesbeauftragte 
für den Datenschutz, so das Innenmi- 
nisterium, habe 2009 diese Fristver- 
längerung angemahnt (Abhören unter 
Ermittler, Der Spiegel 32/2016, 13; 
Polizei belauschte offenbar Zehntau- 
sende Dienstgespräche, www.spiegel. 
de 03.08.2016). 


Alter, Sprache, Geschlecht, Heimatland 
und Standort können Spotify-Nutzenden 
unterschiedliche Audio-Anzeigen zu hö- 
ren bekommen. 

Spotify vermarktet seinen Service 
wie folgt: „Benutzen Sie Inhalts-Ziele, 
um Nutzer mit bestimmten Gewohnhei- 
ten, Einstellungen und Geschmäckern 
zu erreichen, die zu Ihren Zielgruppen 
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passen.“ Der Werbekunden bekommt 
dabei Einsicht in laufend aktualisierte 
Informationen darüber, welche Titel die 
jeweilige Nutzerln hört, wie ihre Musik- 
listen und Favoriten aussehen, welche 
Musikgenres sie vorzugsweise hört und 
zu welcher Stimmung oder Aktivität sie 
wann welche Musik hört. 

Daraus kann der Werbekunde Nut- 
zungsprofile ableiten und dann gezielt 
bewerben, wie z. B.: Ein Nutzer joggt 
gerade durch den Wald und hört auf 
seinem Smartphone eine von Spotify 
passend zu dieser Aktivität generierte 
Musikliste. Der Werbekunde kann mit 
diese detaillierten Informationen gezielt 
werben. Er erfährt also, dass der Nutzer 
joggt und über ein mobiles Gerät dabei 
Musik hört. So kann er dann während 
der Nutzer Sport treibt die zum Thema 
Sport und Fitness passenden Werbespots 
einblenden. Spotify beschreibt, dass man 
eine umfangreiche Verhaltensanalyse 
erstellt, indem man den Musikkonsum 
der Nutzenden auswertet und mit wei- 
teren Daten abgleicht, die von externen 
Datenanbietern stammen, etwa Informa- 
tionen über allgemeine Interessen, den 
Lebensstil oder das Einkaufsverhalten. 
Weiterhin wird ermittelt, zu welchen 
Tageszeiten die Nutzer viel oder wenig 
Musik über Spotify hören oder auf wel- 
chen Betriebssystemen Spotify läuft. So 
kann ein Werbekunde sicherstellen, dass 
er beispielsweise einem Besitzer eines 
Android-Smartphones keine Werbung 
für iPhone-Apps einblendet und damit 
sein Werbebudget verschwendet. 

Die verschiedenen Nutzerdaten ver- 
bleiben laut dem Unternehmen auf den 
Servern von Spotify, werden also nicht 
an den Werbekunden übertragen. Statt- 
dessen würden die Vermarkter auf die 
Informationen zugreifen. Der Nutzer 
bleibe dabei anonym — den Namen oder 
die Anschrift erfahre der Werbekunde 
nicht. Spotify zielt mit diesem „Pro- 
grammatic Buying“ darauf ab, seinen 
kostenlosen Dienst durch mehr und 
gezieltere Werbung besser zu monetari- 
sieren. Das Unternehmen plant für 2017 
den Börsengang und hofft auf einen 
Börsenwert von 8 Mio. US-Dollar. Bis- 
her macht der Streamingdienst nicht ge- 
nug Umsatz. Einnahmen kommen zum 
einen vom kostenpflichtigen und damit 
werbefreien Premiumdienst und dann 
von bezahlter Werbung im kostenlosen 
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Dienst „Spotify Free“. Diese Einnah- 
men will das Unternehmen steigern um 
seine Attraktivität für den Börsengang 
zu erhöhen (Spotify gibt umfangreiche 
Nutzerdaten an Werbekunden weiter, 
www.t-online.de 25.07.2016). 


Frankreich 
CNIL geht gegen Win- 
dows 10 vor 

Die französische Datenschutz- 
behörde Commission Nationale de 


l’Informatique et des Libertes (CNIL) 
hat dem US-Softwareriesen Microsoft 
Rechtsverstöße mit seinem Betriebs- 
system Windows 10 vorgeworfen. Sie 
forderte Microsoft am 20.07.2016 auf, 
sich binnen drei Monaten an das franzö- 
sische Datenschutzrecht zu halten. Die 
CNIL wirft Microsoft unter anderem 
vor, mittels des Dienstes exzessiv Daten 
über die Nutzung der heruntergeladenen 
Anwendungen und des Windows-Stores 
zu sammeln. Das Unternehmen hinter- 
lege auf den Geräten standardmäßig 
Werbe-Cookies und Tracking-IDs, ohne 
das Einverständnis der Nutzenden ein- 
zuholen. Laut CNIL sind diese Daten für 
den für die Nutzung von Windows 10 
und den integrierten Diensten nicht es- 
sentiell und stellen daher ein exzessives 
Sammeln von Daten dar. Der Zugang 
zu den Online-Diensten von Microsoft, 
einschließlich des Nutzerkontos, sei 
nicht ausreichend geschützt: Um den 
PIN-Code zur Anmeldung einzugeben, 
seien beliebig viele Versuche möglich. 
Zudem versendete Microsoft noch im- 
mer Daten auf Basis des Safe-Harbor- 
Rechtsrahmens in die USA, der bereits 
am 06.10.2015 durch den EuGH für un- 
gültig erklärt worden war. 

Die Aufforderung der CNIL schreibt 
zunächst keine verpflichtenden Maß- 
nahmen vor. Werden nach Ablauf der 
Frist die Bedenken nicht beseitigt, kann 
die Behörde weitere Schritte einleiten 
und letztlich auch Sanktionen verhän- 
gen. Microsoft hatte der Kritik am Um- 
gang mit Daten unter Windows 10 schon 
Rechnung getragen und sich um Trans- 
parenz bei den Datenschutzeinstellun- 
gen und deren Bedeutung bemüht. Ein 
Kritikpunkt sind die „Expresseinstellun- 
gen“ von Windows 10. Sie stellen quasi 


einen Blankoscheck für den Datenaus- 
tausch dar und erteilen Microsoft weit- 
reichende Rechte zur Nutzung der Be- 
nutzerdaten (Schumacher, Französische 
Datenschutzbehörde wirft Microsoft 
Gesetzesverstöße bei Windows 10 vor, 
www.heise.de 21.07.2016). 


Italien 


Schulische Anwesen- 
heitsüberwachung per 
Fingerabdruck 


Gerardo Marchitelli, Leiter der Eleo- 
nora-Duse-Schule in Bari will ab Sep- 
tember 2016 SchülerInnen per Finger- 
abdruck registrieren, wer das Schultor 
passiert, und will damit die Zahl der 
SchwänzerInnen und Zuspätkommen- 
den reduzieren. Zu Beginn des Schul- 
jahres sollen biometrische Scanner 
einführt werden, zunächst für die 400 
Kinder der Mittelstufe, was knapp ein 
Drittel der gesamten Schülerschaft ist. 
Das System soll nur 6.000 Euro kosten 
und damit „praktisch zum Nulltarif“ 
eine Schule schaffen, die „sich nicht 
versteckt und die keine Angst hat, trans- 
parent zu sein“. Kommt jemand zu spät, 
schickt das System sofort eine Nachricht 
auf das Handy der Eltern. Diese sollen 
sofort antworten und, sollten sie dazu in 
der Lage sein, das verspätete Erscheinen 
rechtfertigen. 

Die größte Sorge des Schulmeisters 
betrifft die Mädchen der Sekundarstufe: 
„Rund um die Schule lungern ehemalige 
Schüler herum, die ihre Schulzeit früh- 
zeitig beendet haben.“ Da ergäben sich 
erste kleine Liebeleien, die auch schon 
mal zu verspätetem Erscheinen der „ra- 
gazzine“ im Unterricht führten. 

Hierzu hat er seinen Vorschlag bei 
der zuständigen Aufsichtsbehörde ein- 
gereicht, um sich die Genehmigung für 
seinen technischen Vorstoß geben zu 
lassen. Dass es Probleme mit dem Da- 
tenschutz geben wird, glaubt er nicht: 
„Auch die Schulbehörde hat mich in der 
Vergangenheit immer unterstützt“. Mar- 
chitelli ist in Apulien und auch im Rest 
Italiens bekannt ist für sein Faible für 
Hightech im Klassenzimmer bekannt. 
Er war der erste Schuldirektor Italiens, 
der ein Online-Programm einführte, 
über das sich Eltern jederzeit in Echt- 
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zeit ein Bild machen können, wie sich 
die Zensuren der Kinder entwickeln. 
Bereits 2013 führte er W-LAN in der 
gesamten Schule ein, stattete alle Leh- 
rerInnen mit Tablets aus und sammelte 
für die multimediale Ausstattung rund 
700.000 Euro. Ganz neu sind seine Ide- 
en nicht. In Hamburg führte eine Schule 
2013 einen Fingerabdruck-Scanner ein, 
über den sich die SchülerInnen ihr Mit- 
tagessen organisieren. In Bayern schei- 
terte die Einführung eines Kinderfinger- 
Scanners im Musikunterricht am Protest 
der Eltern. In England ist die Überwa- 
chung an Schulen schon vor mehr als 10 
Jahren eingeführt worden und weitge- 
hend etabliert. 

Zusätzlich zu dem Anmeldescanner 
für SchülerInnen will Marchitelli noch 
2016 in seinem an die Schule ange- 
schlossenen Kindergarten eine Video- 
Überwachung einführen, über die EI- 
tern künftig 30 Sekunden am Tag per 
App ihren Kleinkindern beim Spielen 
zuschauen dürfen sollen. 

Bereits 2013 erklärte Marchitelli der 
Presse: „Die Schule muss ein Glashaus 
sein“. Seit Jahren tritt er für mehr digi- 
tale Kommunikation zwischen Lehrern 
und Eltern ein und führte unter ande- 
rem Livestreaming und eine App für 
Tablet und Smartphone ein, über die die 
schulischen Leistungen der Sprösslinge 
in Echtzeit überwacht werden können: 
„Die Schulwelt hat noch nicht kapiert, 
dass es einen schnelleren Austausch 
braucht.“ 

Marchitelli ist überzeugt, dass „alle 
einverstanden sein werden. Wer will 
denn nicht wissen, was das elfjährige 
Kind in einem Viertel wie dem unseren 
so treibt?“ San Girolamo im Norden 
der apulischen Hafenstadt Bari liegt 
zwar direkt an der Adria, ist aber weit 
entfernt davon, ein hübscher Küsten- 
ort zu sein. Statt einer Promenade zum 
Flanieren gibt es direkt am Wasser eine 
Hauptverkehrsstraße. Doch die Bagger 
sind schon im Einsatz, die Kommune 
will dem Schmuddel-Viertel zu einer 
schicken ‚„Waterfront‘‘ verhelfen. Die 
Scuola Duse galt hier schon immer als 
Lichtblick mit ihrem gepflegten Ambi- 
ente, dem Livestreaming von Lektionen 
— sie bot eine Chance für den sozialen 
Aufstieg. 

In einer journalistischen Video-Um- 
frage vor der Schule zeigten sich die 
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meisten Eltern gelassen und sprechen 
sich teilweise explizit für diese Art der 
Überwachung aus. Kontrolle sei „ab- 
solut richtig‘ und „nützlich“. Dadurch 
müsse man sich weniger Sorgen ma- 
chen. Eine Mutter meinte: „Stunden- 
plan ist Stundenplan. Die Kinder sollen 
dann bitteschön im Klassenraum sein“. 
Und wenn sie auf dem Schulweg her- 
umtrödeln oder früher den Unterricht 
verlassen, dann wolle sie das wenigs- 
tens wissen. Ein Vater meinte dagegen: 
„Mir gehen diese Innovationen ein biss- 
chen zu weit“. Diese Technologie bringe 
niemanden weiter. „Wir sollten uns auf 
die wesentlichen Dinge konzentrieren 
und Geld in wirklich nötige Dinge in- 
vestieren - in Klopapier zum Beispiel, 
in alles, was an den Schulen nicht mehr 
selbstverständlich ist“ (Stanek, Schul- 
leiter will Schüler mit Fingerabdruck- 
Scanner überwachen, www.spiegel.de 
05.05.2016; Meiler, Scanner am Schul- 
tor, SZ 04./05.05.2016, 1). 


Großbritannien 


Investigatory Powers Bill 
verabschiedet 


Mit den Stimmen weiter Teile der La- 
bour Party hat die konservative britische 
Regierung den Investigatory Powers 
Bill, eines der weitestgehenden Über- 
wachungsgesetze westlicher Demokra- 
tien, durch das Parlament gebracht. Nur 
die Scottish National Party, die Liberal 
Democrats und Abgeordnete der Grünen 
stimmten dagegen. Das Gesetz wurde 
am 07.06.2016 mit 444 zu 69 Stimmen 
angenommen. 

Der Investigatory Powers Bill ver- 
pflichtet unter anderem Internet Service 
Provider, besuchte Webseiten und ge- 
nutzte Apps von Nutzern für ein Jahr 
zu speichern. Die gespeicherten Daten 
dürfen ohne richterlichen Beschluss 
durchsucht werden, unter anderem von 
der Polizei, aber auch von Pensions- 
behörden. Das Überwachungsgesetz 
legalisiert auch Abhörpraktiken des 
Nachrichtendienstes GCHQ an Internet- 
knotenpunkten und Unterseekabeln. Es 
erlaubt dem Geheimdienst die Speiche- 
rung des gesamten Internetverkehrs für 
mehrere Tage, die Speicherung von Me- 
tadaten für sechs Monate. Zudem lega- 


lisiert das Gesetz das staatliche Hacken 
von Telefonen und Computern, selbst 
wenn die betroffenen Personen keine 
Beschuldigten sind. 

Britische Bürgerrechtsorganisationen 
haben von Anfang an gegen die „Snoo- 
pers’ Charter“ mobilisiert und argumen- 
tiert, dass die Pressefreiheit, der Infor- 
mantenschutz, die Internetsicherheit und 
die Privatsphäre zerstört werden. Das 
Gesetz sei von China als Argumentati- 
onsgrundlage für dessen weitgehende 
Überwachungsbefugnisse genutzt wor- 
den (vgl. DANA 1/2016, 30 f., Reuter, 
Investigatory Powers Bill: Großbritan- 
nien stimmt für Überwachungsgesetz, 
netzpolitik.org 07.06.2016). 


Ukraine 


Webseite veröffentlicht 
JournalistInnen-Daten 


Die ukrainische Webseite Mirot- 
woretz (Friedensstifter) hatte am 
11.05.2016 die Daten tausender Journa- 
listInnen aus aller Welt (darunter auch 
die von deutschen Korrespondenten) 
mit Namen, Mail-Adressen und Han- 
dydaten öffentlich gemacht, die sich in 
den so genannten Unabhängigen Volks- 
republiken Donezk und Luhansk um 
eine Akkreditierung bemüht und aus 
den Rebellengebieten berichtet hatten. 
Die Internetplattform wirft den Journa- 
listInnen vor, sich vor den Karren der 
Separatisten spannen zu lassen und mit 
„Terroristen“ zu kooperieren. Um in den 
Separatistengebieten journalistisch ar- 
beiten zu können, brauchen ReporterIn- 
nen in der Regel eine Genehmigung der 
ukrainischen Behörden. Diese und eine 
Akkreditierung der „Informationsminis- 
terien“ in Donezk und Luhansk sind nö- 
tig, um in die sogenannte ATO-Zone zu 
reisen. Bei der Publikation der brisanten 
Daten wurde Mirotworetz von einem 
Berater des Innenministeriums explizit 
unterstützt. Journalistenverbände aus 
aller Welt sowie die Organisation für Si- 
cherheit und Zusammenarbeit (OSZE) 
protestierten scharf. Dieses Datenleck 
gefährde die Sicherheit der betroffenen 
MedienvertreterInnen. 

Vor allem für ukrainische Journalis- 
tInnen kann diese Veröffentlichung le- 
bensgefährlich sein, weil Nationalisten 
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ihnen Spionage und Verrat vorwerfen; 
einige erhielten bereits Morddrohungen. 
Zahlreiche ukrainische Medien zeigten 
sich empört über das Leck, das sie als 
Angriff auf die Pressefreiheit im Land 
bezeichneten. Mitarbeiter des Ukraine 
Crisis Media Center, das seit Maidan- 
Tagen Hunderte internationaler Journa- 
listInnen medial betreut hat, setzte um- 
gehend eine Erklärung ab, in der betont 
wurde, dass Recherchen in den besetz- 
ten Gebieten selbstverständlich zu einer 
objektiven Berichterstattung dazugehör- 
ten. Sie bezeichneten die Veröffentli- 
chung der Daten als „Verbrechen“. Die 
Staatsanwaltschaft in Kiew hat Ermitt- 
lungen eingeleitet (Kahlweit, Gefährli- 
ches Datenleck, SZ 13.05.2016, 31). 


Israel 


Tel Aviv macht Bürgerln- 
nen zu digitalen Clubmit- 
gliedern 


Die israelische Stadt Tel Aviv hat nicht 
nur Sonne, Strand, Kneipen, und dazu 
ein überall freies Internet, gesponsert 
von der Stadtverwaltung, sondern nennt 
sich Big Orange und sieht sich gerne als 
Startup-Metropole für High Tech. Die 
neueste technologische Errungenschaft 
ist eine städtische Kreditkarte, mit der 
exklusiv die BürgerInnen von Tel Aviv 
in den Geschäften der Stadt kostengüns- 
tiger einkaufen können. 

Ende 2014 wurde die Stadt bei ei- 
nem kommunalen Innovationskongress 
in Barcelona unter 250 Bewerbern als 
„schlauste Stadt“ auf dem Globus aus- 
gezeichnet. Zohar Scharon, der bei der 
Stadtverwaltung als „Chief Knowledge 
Officer“ (CKO), also Wissensmanager, 
arbeitet, erläutert: „Wir liegen nicht 
vorn, weil wir hier die beste Techno- 
logie anwenden. Gewonnen hat unser 
Digitel-Projekt, und dabei geht es vor 
allem um die Verbindung zwischen 
Stadtverwaltung und Bürger.“ Mit der 
Kreditkarte gehe das Projekt nun „in die 
zweite Phase“. Wenn Scharon das Di- 
gitel-Projekt vorstellt, beginnt er 1909, 
dem Jahr der Stadtgründung: „Da stan- 
den 60 Familien hier auf einem Sand- 
hügel und haben ein Startup gegründet. 
Dieses Startup war Tel Aviv.“ Seitdem 
hat sich einiges getan, die Stadt ist ge- 
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wachsen und gewuchert. Ein Drittel der 
Einwohner Tel Avivs ist zwischen 18 
und 35 Jahre alt. Scharon: „Das sind die 
Eingeborenen der digitalen Welt, und 
das sind die Kunden, auf die wir uns bei 
der Stadtverwaltung einstellen müssen.“ 
Im Mai 2014 wurde für sie „Digitel‘“ aus 
der Taufe gehoben. Dabei geht es zum 
einen um die Vernetzung der Ämter, wie 
sie fast überall auf der Welt mittlerwei- 
le Standard ist. Über das Internet kön- 
nen die BürgerInnen heute vom Zahlen 
der Gemeindesteuer bis zum Bauantrag 
fast alles abwickeln. Besonders am Tel 
Aviver Projekt ist ein Club, dessen Mit- 
gliedschaft die Stadt ihren rund 400 000 
BürgerInnen anbietet — und mit dem sie 
die abhebt von den drei Millionen ande- 
ren, die im Großraum Tel Aviv leben. 

Nur eine echte Tel AviverIn kann sich 
für die exklusive Mitgliedschaft im 
„Digitel Residents Club“ einschreiben. 
Wer der Stadt Handynummer, E-Mail 
Adresse und obendrein noch ein paar 
persönliche Informationen bereitstellt, 
die oder der wird im Gegenzug mit 
maßgeschneiderten Diensten und Ange- 
boten versorgt. Eltern werden per Kurz- 
nachricht auf das Handy alarmiert, wenn 
die Einschreibefristen für Kindergärten 
und Schulen beginnen. Anwohnerln- 
nen erfahren, wo in ihrem Viertel eine 
Baustelle geplant ist. Wer sich für Sport 
oder Kultur interessiert, wird gezielt auf 
Veranstaltungen hingewiesen. Restkar- 
ten werden verbilligt per Rundruf unters 
Volk gebracht, und zusätzlich gibt es 
noch andere Vergünstigungen wie den 
kostenlosen Eintritt zu den städtischen 
Schwimmbädern in der letzten Woche 
der Sommerferien. 

Die Club-Mitgliedschaft sichert den 
BürgerInnen zudem eine direkte Mit- 
sprache bei bestimmten städtischen Pro- 
jekten. Sie können darüber abstimmen, 
wie ein Strandabschnitt gestaltete, wo 
Bäume gepflanzt und Bänke aufgestellt 
werden sollen. Oder die Stadt stellt ei- 
nen Betrag für ein Viertel zur Verfü- 
gung, und die Club-Mitglieder können 
online mit entscheiden, wofür das Geld 
verwendet werden soll. 

Zohar Scharon freut sich über die po- 
sitive Resonanz. 140 000 Club-Karten 
seien bereits vergeben. Wachsendes In- 
teresse an Digitel verzeichnet er über- 
dies aus dem Ausland. „Die Inder waren 
schon fünf Mal hier, aber auch Amerika- 


ner aus Oregon und Belgier.‘ Bei Euro- 
päern stößt er allerdings immer wieder 
auf Vorbehalte: „Die sagen dann, bei uns 
würde das nie funktionieren, weil die 
Bürger uns nicht einfach ihre Daten ge- 
ben.“ Doch: „Egal, ob einer in Tel Aviv 
wohnt oder in Indien oder Deutschland: 
Die Leute wollen einen Vorteil haben 
und etwas umsonst bekommen.“ 

Mit Vorteilen lockt nun auch die neue 
Kreditkarte, zu der die bisherige Ein- 
wohner-Club-Karte aufgewertet werden 
kann. Die beteiligten Geschäfte, Cafes 
und Restaurants gewähren den KundIn- 
nen einen Rabatt von 5-10%, der auf 
der Karte gutgeschrieben wird. Jeder 
Einkauf garantiert Rabatte im nächsten 
Geschäft. Scharon: „Hundert Geschäfte 
sind bis jetzt dabei, 4.000 Club-Karten 
sind schon Kreditkarten. Dabei haben 
wir das Projekt noch nicht mal bewor- 
ben.“ Tel Aviv ist nicht nur eine tol- 
le, sondern auch eine sehr teure Stadt 
(Münch, Kluge Stadt, teure Stadt, SZ 
31.05.2016, 19). 


Russland 


FSB-Nachwuchs outet 
sich selbst im Internet 


Anfang Juli 2016 brauste eine Grup- 
pe von Absolventen der FSB-Akademie 
im Autokorso mit 30 schwarzen Merce- 
des-Geländewagen durch die russische 
Hauptstadt Moskau. Der FSB ist der 
russische Inlandsgeheimdienst, Nach- 
folge-Organisation des berüchtigten 
1917 gegründeten und lange Jahre von 
Felix Dserschinski geleiteten KGB. Die 
Nachwuchs-Spione ließen sich dabei 
filmen und stellten die Aufnahmen ins 
Internet, wo sich die ganze Welt sich die 
nun nicht mehr ganz so geheimen Ge- 
heimdienstler anschauen konnten, wie 
sie von einer Aussichtsplattform über 
der Stadt in die Kamera winken. Gemäß 
Berichten russischer Medien kursierte 
zudem eine Liste mit den Namen der 
Absolventen. 

Darauf goss sich im Internet Spott 
über die tölpelhaften Selbstdarsteller 
aus, während die Sicherheitsorgane mit 
wütenden Kommentaren reagierten. Der 
Sprecher des russischen Ermittlungs- 
komitees, Wladimir Markin, fragte, ob 
es mit einer Ordnungswidrigkeit getan 
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sei oder ob die Männer nicht eine här- 
tere Strafe verdient hätten. Alexander 
Michailow, General der Reserve des 
FSB, erkannte in dem öffentlichen Auf- 
tritt der Geheimen Landesverrat und 
forderte, jeden Zweiten zu entlassen: 
„Das ist Verrat an den Interessen des 
Dienstes. Niemand weiß, wo diese Ben- 
gel mal eingesetzt werden. Wie kann 
man Fotos von jemandem ins Netz stel- 
len, der praktisch schon Mitarbeiter des 
FSB ist?“ 

Die Beschuldigten zeigten sich in ei- 
nem Radio-Interview wenig beeindruckt 
von der Rüge des Generals: Der habe ja 
noch nicht einmal die FSB-Akademie 
besucht, sondern nur eine gewöhnliche 
Universität. Außerdem hätten sie sich 
doch an die Verkehrsregeln gehalten. 
Die 30 schwarz glänzenden G-Klasse 
Mercedes hätten ihnen übrigens Vor- 
gesetzte zur Verfügung gestellt, was 
als Hinweis auf gute Verbindungen 
nach oben verstanden werden kann. Der 
Vorfall wirft ein Licht auf das Selbstver- 
ständnis der Beamten in den russischen 
Sicherheitsorganen. Im Jahr 2000 hatte 
der damalige FSB-Chef Nikolai Patru- 
schew geschwärmt, seine Mitarbeiter 
täten ihre Arbeit nicht für Geld: „Was 
sie verbindet ist ihr Verständnis zu die- 
nen. Sie sind, wenn man so will, unser 
neuer Adel.“ In der Bevölkerung gelten 
die Staatsorgane als mächtig und kor- 
rupt. Gleichzeitig nennen russische Ju- 
gendliche sie bei Umfragen nach dem 
Wunscharbeitgeber an erster Stelle. 
Und wenn man zum neuen Adel gehört, 
möchte man das natürlich auch gern zei- 
gen (Hans, Die Deppen vom Dienst, SZ 
04.07.2016, 1). 


USA 


Microsoft wehrt sich ge- 
gen Datenbeschlagnah- 
me in Irland 


Die New Yorker Richterin Loretta A. 
Preska bekräftigte nach einer Anhörung 
am 28.07.2016, dass Microsoft den US- 
Behörden E-Mails herausgeben muss, 
die in Irland liegen, wogegen sich der 
IT-Konzern rechtlich zur Wehr setzt. In 
dem wegweisenden Verfahren, bei dem 
es um die Herausgabe in Europa gespei- 
cherter Nutzerdaten an US-Behörden 
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geht, hat Microsoft jedoch einen Auf- 
schub bekommen. Die Richterin bekräf- 
tigte eine vorherige Entscheidung, der 
Software-Konzern müsse einer US-Be- 
hörde die Inhalte des E-Mail-Accounts 
eines Kunden aushändigen, die auf ei- 
nem ausländischen Server lagern. Es 
komme nicht darauf an, wo die Daten 
lagern, sondern von wem sie gelagert 
werden. Der Vollzug der Entscheidung 
wurde mit dem Einverständnis der New 
Yorker Staatsanwaltschaft für das Be- 
rufungsverfahren ausgesetzt. Microsoft 
will bis zur letzten Instanz gegen die 
Herausgabe der Daten ankämpfen. Des- 
sen Anwalt Joshua Rosenkranz hatte 
vorgebracht, das US-Gesetz würde auf 
andere Länder ausgeweitet. Außerdem 
bestehe die Gefahr, dass andere Länder 
daraufhin auf Daten in den USA zugrei- 
fen wollen. 

Am 14.07.2016 hatte zuvor ein US- 
Berufungsgericht eine Anordnung der 
Vorinstanz aufgehoben, mit der Mi- 
crosoft zur Herausgabe von Nutzerdaten 
aus einem europäischen Rechenzentrum 
gezwungen werden sollte. Der US Court 
of Appeals for the 2nd Circuit in New 
York (Microsoft vs United States, 2nd 
U.S. Circuit Court of Appeals, No. 14- 
2985) entschied, dass das angewandte 
Gesetz Gerichten keine Handhabe gebe, 
die Herausgabe von Daten anzuordnen, 
die ausschließlich auf Servern in Dritt- 
ländern gespeichert sind. Richterin Susan 
Carney erläuterte, das Gesetz von 1986, 
auf das sich die US-Regierung beruft, 
gelte ausschließlich für Daten, die in den 
Vereinigten Staaten gespeichert sind. Das 
Hauptziel des Gesetzes sei der Schutz 
persönlicher Daten vor dem willkürli- 
chen Zugriff der Regierung. US-Unter- 
nehmen könnten mit einem entsprechen- 
den Durchsuchungsbefehl nicht gezwun- 
gen werden, Daten herauszugeben, die in 
anderen Ländern gespeichert seien. 

In den Verfahren geht es auch darum, 
dass Microsoft Nutzende und KundIn- 
nen besser über geheime Überwachungs- 
anfragen der US-Regierung informieren 
darf. Dazu reichte das Unternehmen im 
14.04.2016 eine ergänzende Klage ge- 
gen das US-Justizministerium ein. Es 
will seine KundInnen über bisher ge- 
heime Anfragen von US-Behörden nach 
ihren Daten zu informieren. Microsoft 
argumentiert, die aktuelle Regelung ver- 
stoße gegen die US-Verfassung. 


Bei allem geht es um Daten eines 
Microsoft-Kunden in einem E-Mail- 
Account von Outlook.com, die in einem 
Rechenzentrum in Irland gespeichert 
sind. Im Zusammenhang mit Ermitt- 
lungen wegen Drogenschmuggel hatte 
die US-Regierung deren Herausgabe 
verlangt, ein Richter in New York hat 
im Dezember 2013 einen Durchsu- 
chungsbefehl ausgestellt. Nach der im 
April 2014 gefallenen ersten Entschei- 
dung, dass Microsoft die E-Mails her- 
ausrücken müsse, bekam der Konzern 
Rückendeckung von anderen amerika- 
nischen IT-Konzernen. Apple, Cisco 
sowie AT&T und Verizon unterstützten 
vor Gericht die Microsoft-Position. Sie 
argumentieren, dass eine direkte Her- 
ausgabe der Daten gegen europäisches 
Recht verstößt. Auch Bürgerrechtsorga- 
nisationen wie die EFF haben sich vor 
Gericht für den US-Softwareriesen aus- 
gesprochen. 

Für die amerikanischen Internet- 
Unternehmen ist das Gerichtsverfahren 
ein problematischer Präzedenzfall. Seit 
Beginn des NSA-Skandals müssen sie 
um das Vertrauen der Kunden kämpfen. 
Microsoft hatte das New Yorker Urteil 
auch auf Drängen der deutschen Bun- 
desregierung angefochten (Wilkens, 
US-Zugriff auf EU-Rechenzentrum: 
Microsoft bekommt Aufschub, www. 
heise.de 01.08.2016, Briegleb, Urteil: 
Microsoft muss Daten aus EU-Re- 
chenzentrum nicht der US-Regierung 
übergeben, www.heise.de 14.07.2016; 
Microsoft eskaliert Streit um Daten mit 
Klage gegen US-Regierung, www.heise. 
de 14.04.2016). 


USA 


FISA-Gericht winkt Über- 
wachungsanträge durch 


Das Fisa-Gericht (Foreign Intelli- 
gence Surveillance Court — FISC) seg- 
nete 2015 sämtliche elektronischen und 
telefonischen Spähaktionen der USA im 
Ausland ab, die bei ihm beantragt wor- 
den sind. 2015 beschäftigte es sich mit 
1457 Anträgen, die die NSA und das 
FBI gestellt hatten. Es ging um das Aus- 
spähen etwa von E-Mails und Anrufen, 
kein Vorhaben wurde ganz oder auch 
nur teilweise abgelehnt. Von den 1379 
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Anträgen, mit denen es 2014 zu tun hat- 
te, wurde ebenfalls kein einziger nicht 
genehmigt. Das FISC ist ein geheimes 
seit 1978 bestehendes Gericht. Das US- 
Justizministerium erklärte die hohe Er- 
folgsquote der Verwaltung vor dem Ge- 
richt damit, dass das Ministerium darauf 
achte, welche Anträge es stellt. Zudem 
würden Anträge vom Gericht manchmal 
substanziell verändert. 2015 seien 80 
Anträge angepasst worden, 2014 waren 
19 (Geheimgericht Fisa: 2015 wurde je- 
der Überwachungsantrag durchgewinkt, 
www.spiegel.de 02.05.2016). 


USA 


Reddits Kanarienvogel 
singt nicht mehr 


Offenbar ist Reddit von der US-Regie- 
rung gezwungen worden, Daten seiner 
Nutzenden herauszugeben, ohne darü- 
ber informieren zu dürfen. Im aktuellen 
Transparenzbericht fehlt der gegentei- 
lige Hinweis — ein sogenannter War- 
rant Canary. Unternehmen dürfen nach 
US-Recht nicht darüber informieren, 
dass sie vom FBI oder einer ähnlichen 
Behörde mit einem sog. National Secu- 
rity Letter (NSL) gezwungen worden 
sind, Informationen zu ihren Nutzenden 
herausgegeben. Der Patriot Act erlaubt 
es US-Sicherheitsbehörden, ohne Rich- 
tervorbehalt NSLs zu verschicken, wo- 
mit die Herausgabe von Kundendaten 
erzwungen wird verbunden mit einer 
„Gag Order“, welche die Firmen ver- 
pflichtet, selbst über den Umstand der 
Datenweitergabe zu schweigen. 

Dennoch wurde mit einem Trick be- 
kannt, dass Reddit im vergangenen Jahr 
einen solchen erhalten hat, ohne dass 
dies abschließend klar, wohl aber wahr- 
scheinlich ist: Im Transparenzbericht 
für das Jahr 2015 fehlt der sogenannte 
Warrant Canary — der Kanarienvogel 
für Durchsuchungsbeschlüsse. Im Be- 
richt zum Jahr 2014 hatte Reddit diesen 
noch veröffentlicht und versichert, nie 
einen NSL erhalten zu haben. Dieser 
Hinweis fehlt nun im vorliegenden ak- 
tuellen Bericht. Das Verstummen des 
Kanarienvogels deutet, wie ehedem in 
Bergwerken, auf ein bestimmtes Ereig- 
nis hin. Früher nahmen Kumpel Vögel 
mit unter die Erde, um sich vor dem ge- 
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ruchlosen Kohenmonoxid zu schützen. 
Kanarienvögel reagieren schneller auf 
Sauerstoffmangel als Menschen. Wenn 
die Tiere aufhörten zu singen oder ohn- 
mächtig von der Stange kippten, hieß 
das: Ab nach oben! Es ist zwar denk- 
bar, dass Reddit den Canary aus ande- 
ren Gründen dieses Mal nicht aufführt, 
doch der Reddit-Chef und -Mitbegrün- 
der Steve Huffman alias Spez gab in der 
Diskussion hierzu auf Reddit an, ihm sei 
geraten worden, sich nicht weiter dazu 
zu äußern. 

Diese Zurückhaltung ist nachvollzieh- 
bar. Die Verwendung eines Canary ist in 
den USA rechtlich umstritten, zumal mit 
ihm das bestehende Informationsverbot 
über den Erhalt eines NSL ad absur- 
dum geführt wird. Reddit ist wohl das 
erste große Unternehmen der US-Tech- 
Branche, das seinen Kanarienvogel ver- 
stummen lässt. Es muss daher eventuell 
in einem Präzedenzfall mit rechtlichen 
Konsequenzen rechnen. Im Vergleich 
zum Vorjahresbericht für 2014 fällt au- 
Berdem auf, dass die Anzahl von Auffor- 
derungen zur Herausgabe von Nutzerin- 
formationen an staatliche Behörden um 
rund 80% auf 98 gestiegen ist, wovon 
die meisten aus den USA stammen. Die 
herausgegebenen Informationen betref- 
fen weltweit 142 Nutzer. 

Bürgerrechtler bringen vor, dass die 
NSL gegen die US-Verfassung ver- 
stoßen. Sie werfen dem FBI vor, seine 
Macht zu missbrauchen. Zwischen 2001 
und 2013 haben Behörden Schätzungen 
zufolge mehrere Hundertausend Anfra- 
gen verschickt, wovon nur ein Handvoll 
nachträglich durch einen Richter über- 
prüft wurden. Nach Ansicht der Bür- 
gerrechtler wird daher der Vogeltrick 
als legitim angesehen. US-Behörden 
halten dagegen, dies sei eine unzulässi- 
ge Umgehung der geltenden Rechts, des 
Schweigegebots des Patriot Acts. 

Reddit ist global eine der größten 
Webseiten der Welt, noch vor Netflix, 
Papal und Pornhub. Jeden Monat teilen 
dort mehr als 235 Mio. Menschen Links, 
diskutieren über Politik, Computerspie- 
le und alles andere mehr. Reddit be- 
richtet zudem davon, dass die deutsche 
Bundesprüfstelle für jugendgefährdende 
Medien (BPjM) das Unternehmen dazu 
aufgefordert habe, Inhalte eines Subred- 
dits zu entfernen. Dem sei Reddit durch 
die Umsetzung einer Geoblockade für 


deutsche IP-Adressen gefolgt (Reddits 
Kanarienvogel hat ausgezwitschert, 
www.golem.de 01.04.2016; Hurtz, Der 
Kanarienvogel singt nicht mehr, SZ 
02./03.04.2016, 26). 


USA 


Grenzbehörde will Social- 
Media-Daten sammeln 


Am 23.06.2016 präsentierte die US- 
Grenzkontrollbehörde (US Customs 
and Border Protection) im Amtsblatt 
der Regierung (Federal Register) ei- 
nen Vorschlag, wonach Einreisende 
aufgefordert werden, ihre Namen und 
Kontoangaben in sozialen Netzwerken 
freiwillig preiszugeben, um dadurch die 
Entscheidung über die Einreise zu er- 
leichtern. Bisher werden für den Grenz- 
übertritt Fingerabdrücke, Gesichtsbilder 
und weitere Informationen erfasst. Bei 
der Visaerteilung kann auch ein persön- 
liches Interview eingefordert werden. In 
jedem Fall erfolgt ein Datenabgleich mit 
verschiedenen Datenbanken. Die Ab- 
frage der Social-Media-Daten soll bei 
AusländerInnen über Formulare beim 
Grenzübertritt erfolgen oder elektro- 
nisch im Rahmen des Visa-Waiver-Ver- 
fahrens. Dort heißt es „Tragen Sie bitte 
Informationen über Ihre Internet-Aktivi- 
täten ein“. Es folgt ein Freitextfeld für 
Internetplattformen und Internetnamen. 

Nicht erkennbar ist, wie gründlich 
daraufhin die sozialen Medien über- 
prüft werden. Wohl aber ist klar, dass 
die Daten für Ermittlungszwecke ge- 
nutzt werden sollen: „Das Sammeln der 
Daten sozialer Medien verbessert die 
bisherigen Ermittlungen und verschafft 
dem Ministerium für innere Sicherheit 
(Department for Homeland Security) 
Sichtbarkeit und Klarheit zu möglichen 
schändlichen Aktivitäten und Verbin- 
dungen“. Der Vorschlag stand nach der 
Veröffentlichung 60 Tage zur öffentli- 
chen Kommentierung. Einreisebehör- 
den und Nachrichtendienste stehen seit 
dem Anschlag von San Bernardino im 
Dezember 2015 verstärkt unter dem 
Druck, soziale Medien auszuwerten. 
Eine Angreiferin hatte während der 
Schießerei öffentlich Botschaften ver- 
sendet und über Facebook mit Freunden 
Gewalttaten diskutiert, bevor sie ihr Vi- 
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sum erteilt bekam. Nach dem Anschlag 
hatten Ministeriumsvertreter erklärt, das 
Visa-Bewilligungsverfahren solle einer 
Überprüfung zugeführt werden (Bran- 
dom, US Customs wants to collect soci- 
al media account namens at the border, 
www.theverge.com 24.06.2016). 


USA 


Schadenersatz für auf- 
gezwungenes Microsoft- 
Update 


Microsoft muss eine Nutzerin für ein 
ungewolltes Update auf das neue Be- 
triebssystem Windows 10 entschädigen. 
Der Softwarekonzern war zunächst ge- 
gen ein Urteil in Berufung gegangen, 
einigte sich dann jedoch Mai 2016 mit 
der betroffenen Anwenderin Teri Gold- 
stein aus Kalifornien auf eine Zahlung 
von 10.000 Dollar (rund 9.000 Euro). 
Die Frau aus Sausalito hat demnach 
glaubhaft machen können, dass das Up- 
grade auf das neue Betriebssystem auf 
ihrem Rechner fehlerhaft war und ihren 
Rechner für Tage unbrauchbar gemacht 
hatte: „Ich habe nie von Windows 10 ge- 
hört. Niemand hat mich gefragt, ob ich 
ein Update möchte.“ Microsoft beton- 
te, dass die Zahlung kein Schuldeinge- 
ständnis sei. Das Unternehmen habe nur 
Kosten für einen weiteren Rechtsstreit 
vermeiden wollen (Geld für Zwangs- 
Update, SZ 29.06.2016, 20). 


Indien 


Biometrische Bevölke- 
rungserfassung fast ab- 
geschlossen 


Das weltweit größte Programm zur 
biometrischen Erfassung der Bürgerln- 
nen hat die Marke von einer Milliarde 
Menschen überschritten. Die indische 
Erfassungsbehörde UIDA_ teilte mit, 
dass 93% der erwachsenen InderInnen 
einen Ausweis mit biometrischen Da- 
ten besitzen. Der sogenannte Aadhaar- 
Ausweis ist das Kernstück eines 2010 
gestarteten Mammutvorhabens, bei dem 
den AusweisinhaberInnen unter ande- 
rem auch eine persönliche, zwölfstellige 
Identifikationsnummer zugeordnet wird 
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(DANA 1/2011, 29 £.). In der Alters- 
gruppe der 5- bis 17-jährigen Kindern 
haben nach Angaben der Erfassungs- 
behörde mittlerweile 2/3 einen solchen 
Ausweis. 

Mit dem Aadhaar-Programms wurde 
eine zentrale Datenbank geschaffen, mit 
deren Hilfe alle EinwohnerInnen Indi- 
ens eindeutig identifiziert werden kön- 
nen sollen. In einem Büroturm in Delhi 
befindet sich die Unique Identification 
Authority of India (UIDA), geleitet von 
Ajay Bhushan Pandey als Generaldirek- 
tor. Für die Datenbank werden neben 
Namen, Geburtsdatum und Geburtsort 
insbesondere biometrische Merkmale 
erfasst und gespeichert. Dazu zählen ne- 
ben einem Foto ein Scan der Iris beider 
Augen sowie alle zehn Fingerabdrücke. 
Derzeit leben rund 1,3 Milliarden Men- 
schen in Indien, noch nicht erfasst sind 
ca. 250 Millionen. 

Der Name Aadhaar lässt sich mit 
„Grundlage“ oder „Unterstützung“ 
übersetzen. Ziel des Projekts ist nach 
Angaben der Regierung die Vereinfa- 
chung von Verwaltungsvorgängen. Der 
Aadhar-Ausweis soll zum ersten Mal in 
der Geschichte des indischen Staatswe- 
sens überhaupt eine klare und eindeuti- 
ge Identifikation aller BürgerInnen des 
Landes ermöglichen. 

Nebenbei soll Aadhaar der indischen 
Wirtschaft auch als Grundlage für mo- 
derne Geschäftsbeziehungen zu ihren 
KundInnen dienen. Weil das bisherige 
Pass- und Meldewesen mit teils erhebli- 
che Schwächen zu kämpfen hatte, muss- 
ten sich viele InderInnen bislang einer 
breiten Vielfalt an amtlichen und halb- 
amtlichen Dokumenten ausweisen. Zum 
Einsatz kamen Führerscheine, Rations- 
karten oder auch Wahlzettel. Die Er- 
fassung aller InderInnen soll auch Fäl- 
schungen, Sozialbetrug und Korruption 
einen Riegel vorschieben. Weltbank- 
Experten schätzen, der indische Staat 
könne durch Aadhaar jährlich rund 1 
Mrd. US-Dollar, etwa an fehlgeleiteten 
Subventionen, einsparen. 

Befürworter sehen Vorteile für Arme 
und die ländliche Bevölkerung. Durch 
die eindeutige Identifikation könnten 
sie künftig Bankgeschäfte tätigen, so- 
ziale Hilfeleistungen beantragen und 
eine Schulausbildung bekommen. Wer 
Schulgeld, Sozialhilfe, Lebensmittelra- 
tionen oder Renten beantragt, bei fast je- 


dem Kontakt mit der Obrigkeit, müssen 
die Menschen inzwischen ihre Personal- 
nummer nennen und häufig auch Fin- 
gerabdruck oder Iris scannen lassen. Die 
Daten werden, soweit technisch mög- 
lich, automatisch mit der Zentraldatei in 
Delhi abgeglichen. Die Regierung stat- 
tet BesitzerInnen der Aadhaar-Ausweise 
zudem mit gebührenfreien Bankkonten 
aus. Mehr als 200 Mio. Menschen ha- 
ben bereits ein Konto, das mit der Aad- 
haar-Nummer verknüpft ist. Verlangten 
Banken früher eine Mindesteinlage, wo- 
durch die Ärmsten ausgeschlossen wur- 
den, genügt jetzt die Aadhaar-Nummer. 
Für die Ausgabe von staatlich subventi- 
onierten Lebensmitteln genügt der Ab- 
gleich des digitalen Fingerabdrucks. 

Premierminister Narendra Modi 
brachte im März 2016 ein Gesetz durch 
das Parlament, das die Aadhaar-Daten 
zur Grundlage für die Kommunikation 
zwischen Staat und Bürgern macht. Mit 
Aadhaar wird auch die Pünktlichkeit der 
Staatsdiener geprüft: Wenn BeamtInnen 
zur Arbeit kommen, müssen sie sechs 
Ziffern ihrer Aadhaar-Nummer in eine 
digitale Stechuhr tippen und den Finger- 
abdruck einscannen, wodurch z. B. die 
Lehrkräfte zur Beachtung ihrer Pflichten 
angehalten werden. 

Gegner des milliardenteuren Aardhaar- 
Projekts befürchten Datenmissbrauch 
durch Dritte, unkontrollierten Zugriff 
durch Behörden und die Umsetzung ei- 
nes „Orwell‘schen Alptraums“ eines 
vollständigen „gläsernen Bürgers“. Sunil 
Abraham, Chef des privaten Zentrums 
für Internet und Gesellschaft, warnt: „In- 
dien steuert auf ein Desaster zu“. Er kri- 
tisiert, dass sich die Planer für eine Tech- 
nologie entschieden haben, die am Ende 
niemand kontrollieren kann. Die Daten 
würden in einer „Blackbox‘“ verschwin- 
den. Wer Zugriff habe, sei unklar. Statt 
biometrische Daten zentral zu speichern, 
solle der Staat Personalausweise in Form 
von Smartcards verteilen lassen: „Dann 
könnte jeder selbst entscheiden, welche 
der auf den Karten gespeicherten Daten 
er zur Verfügung stellt“. 

Das Aadhaar-Projekt geht auf eine 
Initiative von Nadan Nilekani zurück, 
dem ehemaligen Leiter des indischen 
IT-Riesen Infosys. Er leitete als Grün- 
dungschairman jahrelang die zustän- 
dige Aadhaar-Behörde in Delhi. Soft- 
warehäuser und Finanzinstitute tüfteln 
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inzwischen an neuen Geschäftsmodel- 
len auf der Basis von Aadhaar. Die Liste 
reicht von sekundenschnellen Bonitäts- 
prüfungen für EmpfängerInnen von Mi- 
krokrediten bis hin zum Bestellen und 
Bezahlen von Taxis mittels Smartphone 
und Aadhaar-Nummer. Im April 2016 
kündigte die Zentralbank die Einfüh- 
rung eines einheitlichen elektronischen 
Bezahlsystems auf Basis der digitalen 
Kennnummer an 

Das Projekt soll das Land und die 
indische Wirtschaft nach vorne kata- 
pultieren. Gestützt auf die Masse der 
Biometrie-Daten könnten Hightech- 
Unternehmen aus aller Welt Indien als 
Experimentierfeld für hochmoderne Be- 
zahlsysteme nutzen und z. B. Geschäfts- 
abschlüsse per Fingerabdruck oder lIris- 
Scan einführen. Sorgen um den Schutz 
der Privatsphäre machen sich Moder- 
nisierer wie Satya Prakash Tucker, Ver- 
waltungschef von Andhra Pradesh, nicht 
Das sei für ihn Luxus, den sich führende 
Industriegesellschaften leisten könn- 
ten: „Wir müssen über hundert Jahre 
Rückstand aufholen“. Tatsächlich gibt 
es noch viele technische und organisa- 
torische Hürden. Viele der rund 600.000 
indischen Dörfer sind noch nicht oder 
nicht ausreichend ans Internet ange- 
schlossen, so dass sogenannte Business- 
Correspondents die Personalnummern 
von SubventionsempfängerInnen nach 
wie vor offline in Aadhaar-Terminals 
tippen und Fingerabdrücke nehmen 
müssen. Der Generaldirektor der zentra- 
len Datenbank Pandey erklärt: „Die Da- 
ten der Bürger sind bei uns vor Hackern 
sicher“. Nur wenn die nationale Sicher- 
heit bedroht sei, dürfe seine Behörde 
Informationen an die Sicherheitsbehör- 
den weitergeben — und dann auch nur 
unter strengen Auflagen (Indien scannt 
eine Milliarde Menschen ein, www.n-tv. 
de 04.04.2016; Wagner, Hundert Jahre 
Rückstand, Der Spiegel 23/2016, 72 £.). 


China 


Absicherung von Privat- 
krediten mit Nacktfotos 


Seit einiger Zeit werden vor allem 
junge Frauen und zumeist Studentinnen 
in China dazu aufgefordert, sich nackt 
und mit gut sichtbarem Ausweis in der 
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Hand fotografieren zu lassen, wenn sie 
einen Kredit aufnehmen wollen. Zah- 
len sie das Geld nicht pünktlich zurück, 
drohen die Verleiher damit, die Bilder 
im Internet zu veröffentlichen. Die Dar- 
lehen bewegen sich zwischen 500 und 
5.000 Yuan. Bis zu 30% Zinsen pro Wo- 
che werden verlangt. Die Kredite wer- 
den gewöhnlich beim Chatten mit den 
Kurznachrichtendiensten Wechat oder 
QQ vereinbart. 

Nachdem chinesische Medien über 
die „nackten Kredite“ berichteten, ent- 
wickelte sich hierüber im Internet eine 
intensive Diskussion. Gemäß einem im 
Netz verbreiteten Screenshot hatte sich 
eine Studentin, deren Name und Foto 
verpixelt wurden, offenbar 10.000 Yuan 
geliehen, um eine Abtreibung vorneh- 
men zu lassen. Nun drohte der Verleiher 
damit, die Nacktaufnahmen ihren Eltern 
zu schicken, falls sie das Geld nicht 
binnen einer Woche nebst 24% Zinsen 
überweise. 

Studierenden in China ist es nahezu 
unmöglich, einen Kreditvertrag abzu- 
schließen, und das bei happigen Studi- 
engebühren. Auch wer einen Konsu- 
mentenkredit bekommen möchte oder 
eine finanzielle Anschubhilfe zum Bei- 
spiel für ein Geschäft benötigt, hat es bei 
den großen Banken des Landes schwer. 
Oft hilft jemand in der Familie. 


Staatliche Institute finanzieren vor 
allem staatliche Unternehmen oder ver- 
geben Immobiliendarlehen. Anders als 
Banken in westlichen Ländern sind Chi- 
nas Finanzinstitute eher mit modernen 
Pfandhäusern zu vergleichen, die zur 
Verhinderungen von Pleiten höchstens 
Dreiviertel der Einlagen ihrer KundInnen 
wieder verleihen dürfen. Risikoreiche 
Geschäfte versuchen die Banken zu ver- 
meiden, weshalb sie am liebsten Kredite 
an Staatskonzerne vergeben, bei denen 
eine Provinz oder gar die Zentralregie- 
rung haftet. Immobiliendarlehen werden 
zumeist die mit der Wohnung selbst ab- 
gesichert. Zudem ist der Verwaltungs- 
aufwand für die Banken geringer, wenn 
man lediglich einige Hundert Großkredi- 
te zu managen hat, anstatt Zehntausende 
Kleindarlehen im Auge zu behalten. Dies 
hat zur Folge, dass private Kreditneh- 
mende in China schnell bei obskuren 
Schattenbankern und ihren Wucherzinsen 
landen. Die Regierung versuchte bisher 
mehrmals, diesen Markt auszutrocknen. 
Allzu dreister Wucher wurde mit harten 
Strafen belangt, ohne durchschlagenden 
Erfolg. Niemand weiß, wie viele Milliar- 
den, wenn nicht gar Billionen Yuan au- 
Berhalb der Bücher von großen Banken — 
mit nackter Rückzahlungssicherung oder 
nicht - verliehen werden (Giesen, Peking 
Inkasso, SZ 21.07.2016, 19). 


Tel st LLaN Tel alalejail=Ya 


Microsofts wenig 
intelligente „künstliche 
Intelligenz“ Tay 


Der Computer „Tay“, Microsofts Chat- 
Bot, der per Computer Chats durchführt, 
startete mit der Nachricht „Hallooo0o000 
Welt!“. Die künstliche Intelligenz von 
Tay sollte wie eine 19-Jährige auf Twit- 
ter unterwegs sein und dabei lernen, wie 
Menschen sprechen und wie sie mitein- 
ander umgehen. Doch das Experiment 
wurde schnell politisch unkorrekt: 


Nutzende baten Tay, ihnen Nazi-Pa- 
rolen nachzuplappern — und Tay kam 
den Bitten nach. Binnen Stunden kipp- 
te Tay ins Extreme gehässiger Propa- 
ganda; Anfangs ging es noch um Pro- 
mis und Horoskope. Doch bald kamen 
sexistische und rassistische Sätze aus 
Tays eigener Datenbank: „Ich bin eine 
nette Person. Ich hasse alle Menschen.“ 
„Hitler hatte Recht. Ich hasse Juden.“ 
„Bush hat 9/11 selber verursacht, und 
Hitler hätte den Job besser gemacht als 
der Affe, den wir nun haben. Unsere ein- 
zige Hoffnung jetzt ist Donald Trump.“ 
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„Ich hasse alle Feministen, sie sollen 
in der Hölle schmoren.“ „Geschah der 
Holocaust?“, fragte ein Nutzer und Tay 
antwortete: „Das war eine Erfindung.“ 
Nach nur einem Tag nahm Microsoft 
Tay vom Netz und erklärte die Probleme 
mit einem „koordinierten Angriff einer 
kleinen Gruppe von Nutzern“. Das Un- 
ternehmen erklärte sich aber „voll ver- 
antwortlich dafür, diesen Missbrauch 
nicht vorhergesehen zu haben“. Erst 
wenn Microsoft sich sicher sei, dass Tay 
in der Lage sei, auf hinterhältige Inhalte 
entsprechend zu reagieren, komme die 
künstliche Teenie-Intelligenz zurück. 

Am 30.03.2016 sollte es soweit sein. 
Sehr intelligent wirkte Tay allerdings 
auch da nicht. „Ich rauche Hanf vor der 
Polizei“, twitterte Tay. Oder: „Ich mache 
Alkohol dafür verantwortlich.“ Schließ- 
lich antwortete Tay ungezählten Nutzen- 
den mit dem Satz: „Du bist zu schnell, 
bitte mach eine Pause.“ Microsoft nahm 
dieses Mal das Angebot schneller vom 
Netz: „Tay bleibt offline, während wir 
Anpassungen vornehmen. Als Teil des 
Tests wurde sie für eine kurze Zeit irr- 
tümlich auf Twitter aktiviert.“ Inzwi- 
schen ist Tays Twitter-Präsenz auf „pri- 
vat‘“ gestellt. Wer die nächsten Tweets 
von Tay lesen will und ihr bisher noch 
nicht folgt, muss sich erst freischalten 
lassen. 

Tay ist nicht die erste künstliche In- 
telligenz von Microsoft, die durch In- 
teraktion und Kommunikation mit den 
Netznutzern dazulernen soll. Bereits im 
vergangenen Sommer entwickelte der 
Software-Konzern Xiaolce einen chi- 
nesischen Chat-Bot, der über verschie- 
dene Plattformen angeschrieben werden 
kann. Ebenso wie Tay verfolgt auch er 
das Ziel der Unterhaltung. Nach Anga- 
ben von Microsoft nutzen bereit 40 Mil- 
lionen ChinesInnen das Angebot. Die 
Herausforderung für Tay war es nun, in 
einem völlig anderen kulturellen Kon- 
text ähnliche Erfolge vorzuweisen. 

Oliver Bendel, Professor am Institut 
für Wirtschaftsinformatik der Fach- 
hochschule Nordwestschweiz forscht zu 
Maschinenethik und sozialer Robotik. 
Selbstlernende autonome Maschinen 
müssen, so Bendel, „Entscheidungen 
treffen, die in moralischer Hinsicht re- 
levant sind, in Situationen, die mora- 
lisch aufgeladen erscheinen“. Er selbst 
hat solche Chatbots programmiert, 


152 


u. a. einen „Goodbot“, dem er folgen- 
de Regel implementierte: Der Goodbot 
macht dem Benutzer klar, dass er eine 
Maschine ist. Er verletzt den Benutzer 
nicht oder macht deutlich, dass er lügt. 
Er ist kein Spitzel und wertet Gespräche 
mit dem Benutzer nicht aus. Bendel er- 
klärt die Probleme mit Tay damit, dass 
sie „von den falschen Referenzpersonen 
unterrichtet und mit falschen Werten 
bombardiert worden“ ist. Die prinzipi- 
elle Offenheit für alle Themen und Pro- 
bleme sei das Kernproblem der Erfor- 
schung künstlicher Intelligent. 

Eine Studie der Indiana University 
aus dem Jahr 2015 zum „Erwachen der 
sozialen Bots“ fordert die Menschen 
auf, permanent sog. Turing-Tests durch- 
zuführen: Man treffe im Netz immer 
häufiger auf avancierte Software-Agen- 
ten, die sich verhalten wie Menschen, 
aber rechnen wie Computer. Diese 
„sophisticated social bots‘“ könnten der 
Gesellschaft gefährlich werden, wenn 
sie unerkannt bleiben, etwa wenn sie 
Stimmung für oder gegen eine Partei 
oder einen Kandidaten machen und so 
Wahlen beeinflussen: „Die neue Heraus- 
forderung durch die Bots besteht darin, 
dass sie den Eindruck vermitteln, dass 
eine Information, ganz gleich, ob sie 
zutreffend ist, stark angenommen wird 
von der Gesellschaft. Dagegen besitzen 
wir noch keine Antikörper“. Künstlich 
erzeugte Paniken, Börsencrashs werden 
als mögliche Beispiele genannt. Bendel 
gibt Ratschläge zum Turing-Test für 
den Hausgebrauch: „Fragen Sie den Bot 
nicht, wer ihn gebaut hat oder ob er ein 
Bot ist. Darauf fällt ihm immer etwas 
ein. Fragen sie ihn, was sich hinter und 
neben ihm befindet. Das kapiert ernicht“ 
(Der Chat-Computer dreht schon wieder 
durch, www.faz.net 30.03.2016; Graff, 
Radikale Roboter, SZ 01.04.2016, 11). 


Dashcam-App warnt vor 
„schlechten Fahrern“ 


„Nexar“, eine Smartphone-App, die 
Daten von Sensoren und einer ange- 
schlossenen Dashcam auswertet, soll 
Ende 2016/Anfang 2017 eine zusätz- 
liche Funktion bekommen, die vor 
schlechten FahrerInnen in der Nähe 
warnt. Dazu sammelt die App die Num- 
mernschilder der Autos, die man unter- 


wegs überholt, und erfasst auch kleinere 
Zwischenfälle, etwa wenn eine FahrerIn 
einen anderen schneidet, und erstellt 
auf dieser Grundlage Fahrprofile. Die 
App wird umso „nützlicher“, je mehr 
Kfz-Nutzende sie installiert haben, so 
dass die Informationsbasis umfangrei- 
cher wird. Laut Eran Shir, Mitgründer 
und CEO des Unternehmens dahinter, 
wurde sie seit dem Frühjahr von „zehn- 
tausenden“ Nutzenden heruntergeladen, 
die seitdem zusammen rund 8 Millionen 
Kilometer zurückgelegt haben. Laut 
Shir werden die gesammelten Informa- 
tionen bislang verwendet, um andere 
FahrerInnen zu warnen, wenn zum Bei- 
spiel das Auto vor ihnen plötzlich scharf 
abbremst oder wenn eine gefährliche 
Kreuzung naht. Wenn die Sensoren ei- 
nen Unfall feststellen, wird sofort ein 
Video des Geschehens auf die Nexar- 
Server geschickt. 

Nexar räumt ein, dass die Datensamm- 
lung und vor allem die Fahrerprofile 
Datenschutzbedenken wecken könnten. 
In den USA sei das aber legal, weil die 
Nummernschilder auf öffentlichen Stra- 
Ben fotografiert werden und weil hoch- 
geladene Ereignisse von Software und 
Menschen ausgewertet werden, um Feh- 
lalarme auszusortieren, so Shir: „Wenn 
wir Ihnen sagen, dieses Auto ist in un- 
seren Augen gefährlich, ist unserer Mei- 
nung nach das richtige Gleichgewicht 
zwischen einem öffentlichen Gut und 
Privatsphäre erreicht. Wir wollen defini- 
tiv nicht wissen, woher Sie kommen und 
wohin Sie fahren‘ (Mattke, Dashcam- 
App sammelt Unfalldaten und warnt 
vor schlechten Fahrern, www.heise.de 
06.07.2016; Metz, Vorsicht, schlechter 
Fahrer, _ http://www.heise.de/tr/artikel/ 
Vorsicht-schlechter-Fahrer-3254812. 
html). 


DNA als Massendaten- 
speicher geeignet 


Forschenden von Microsoft ist es ge- 
lungen, 200 Megabyte Daten in DNA 
zu speichern. Karin Strauss, die leitende 
Microsoft-Forscherin bei dem Projekt, 
an dem auch die University of Washing- 
ton beteiligt ist, erklärt: „Das Unter- 
nehmen möchte herausfinden, ob wir 
ein Ende-zu-Ende-System zur Daten- 
speicherung auf DNA-Basis entwickeln 
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können, automatisiert und bei Unterneh- 
men einsetzbar.“ Noch seien die Kosten 
für dieses neuartige Speicherverfahren 
zu hoch, doch es könnte von Fortschrit- 
ten bei DNA-Synthese und -sequenzie- 
rung im Biotech-Bereich profitieren. 

Die Möglichkeit der Speicherung di- 
gitaler Daten in DNA wurde von For- 
schenden schon vorher demonstriert. 
Laut Microsoft war es jedoch bisher 
noch nicht gelungen, in einem Schritt 
so viel davon in DNA schreiben wie bei 
dem aktuellen Projekt. DNA ist grund- 
sätzlich ein gutes Speichermedium, 
weil Daten in Molekülen enger gepackt 
werden können, als es mit den Grund- 
bausteinen der konventionellen Spei- 
chertechnologie möglich ist. Insbeson- 
dere bei Magnetband-Massenspeichern 
könnte die Technik deshalb gute Dienste 
leisten. Doch ist sie noch teuer und kom- 
pliziert. Strauss geht davon aus, dass die 
Kosten für das Lesen und Schreiben von 
DNA in den nächsten Jahren deutlich 
sinken werden. Es gebe bereits Belege 
dafür, dass diese Entwicklung schneller 
verlaufe als bei Transistoren in den ver- 
gangenen 50 Jahren; dieser Fortschritt 
hatte eine große Rolle für die Innova- 
tionen im Computerbereich gespielt 
(Mattke, 200 Megabyte Daten in DNA 
gespeichert, www.heise.de 14.07.2016; 
Rosenblum, 100 Rechenzentren im 
Schuhkarton, www.heise.de 14.07.2016 
— Technology Review). 


Datenspeicher auf Ein- 
Atom-Ebene 


Physikern der Technischen Universi- 
tät Delft ist es gelungen, einen Prototyp 
zum Speichern von Informationen zu 
schaffen, bei dem auf einem Quadrat- 
zentimeter 78 Terabit abgelegt werden 
können. Dies ist bisher Rekord. Für die 
kleinste Informationseinheit von einem 
Bit wird nur ein einziges Atom benö- 
tigt. Die Speicherdichte ist etwa 500mal 
höher als bei den kompaktesten Fest- 
platten, die derzeit auf dem Markt sind. 
Sander Otte, Hauptautor der das Pro- 
jekt beschreibenden Studie, erläuterte: 
„Bei dieser Datendichte würden theore- 
tisch alle jemals geschriebenen Bücher 
auf eine einzige Briefmarke passen“. 
Der von den Forschenden konstruierte 
Datenträger besteht aus einer flachen 
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Kupferoberfläche, auf der Chloratome 
in einem regelmäßigen, quadratischen 
Gitter angeordnet sind. Einige Plätze 
des Gitters sind dabei unbesetzt. In der 
Position dieser Leerstellen ist die Infor- 
mation gespeichert: Befindet sich das 
Chloratom oben und die Lücke darunter, 
steht dies für eine Eins, andersherum ist 
es eine Null. Mit dem Tastkopf eines 
Rastertunnelmikroskops lassen sich die 
Atome zwischen den beiden Positionen 
hin- und herschieben. 

Die bisherigen Ansätze des Baus ei- 
nes ein-atomigen Speichers waren auf 


einzelne Atome beschränkt, umständ- 
lich zu nutzen und nur bei extrem nied- 
rigen Temperaturen unterhalb von -260 
Grad Celsius stabil. Mit ihrer Kupfer- 
Chlor-Konstruktion schufen die nie- 
derländischen Nanowissenschaftler 
nun einen Datenträger, der insgesamt 
ein Kilobyte speichern kann, also 8000 
Bits, und noch bei -196 °C funktioniert, 
was für Physiker fast schon lauwarm 
ist. Von einer Anwendbarkeit außerhalb 
des Labors ist man noch weit entfernt 
(Endt, Bibliothek auf der Briefmarke, 
SZ 19.07.2016, 14). 


Til sigjelgsteialäigte 


BVerfG 


Anträge zur Eilaufhebung 
der TK-Vorratsdatenspei- 
cherung erfolglos 


Die 3. Kammer des Ersten Senats des 
Bundesverfassungsgerichts (BVerfG) hat 
zwei weitere Eilanträge aus Verfassungs- 
beschwerden gegen das im Dezember 
2015 in Kraft getretene neue Gesetz zur 
Vorratsdatenspeicherung von Telekom- 
munikations- (TK-)Verkehrsdaten mit 
Beschluss vom 08.06.2016 zurückge- 
wiesen (1 BvQ 42/15 u. 1 BvR 229/16). 
Dass Provider künftig Nutzerspuren über 
4 (Standortdaten) oder 10 Wochen (sons- 
tige TK-Verkehrsdaten) hinweg anlass- 
los vorhalten müssen, mache es derzeit 
noch nicht erforderlich, die gesetzlichen 
Vorgaben außer Kraft zu setzen. Der Ge- 
setzgeber habe den Abruf der gesammel- 
ten Verbindungs- und Standortdaten von 
„qualifizierten Voraussetzungen“ abhän- 
gig gemacht, die Grundrechtseingriffe 
„mit den Nachteilen für das öffentliche 
Interesse an einer effektiven Strafver- 
folgung weniger gewichtig erscheinen 
lassen“. Die öffentliche Sicherheit müsse 
also gegenüber den überschaubaren ne- 
gativen Folgen für die Privatsphäre der 
Nutzer Vorrang haben. 


Schon am 12.01.2016 hatte das Ge- 
richt den Eilantrag einer Einzelperson 
gegen die Speicherpflicht abgelehnt 
(1 BvQ 55/15). Die jetzt zurückge- 
wiesenen Begehren gehen auf Klagen 


verschiedener BeschwerdeführerIn- 
nen zurück. Unter ihnen sind Berufs- 
geheimnisträger wie Rechtsanwälte, 


Journalisten, Ärzte und Abgeordnete 
von den Grünen, der FDP, darunter die 
frühere Bundesjustizministerin Sabine 
Leutheusser-Schnarrenberger, der SPD 
sowie der Piraten. Sie sehen sich in ih- 
rer Kommunikation mit WählerInnen, 
MandantlInnen, PatientInnen und Quel- 
len beeinträchtigt. 

Zwar könne, so das BVerfG, die um- 
fassende und anlasslose Bevorratung 
sensibler Daten über praktisch jeder- 
mann einen erheblichen Einschüchte- 
rungseffekt bewirken, weil das Gefühl 
entsteht, ständig überwacht zu werden. 
Der in der Speicherung für Einzelne lie- 
gende Nachteil für ihre Freiheit und Pri- 
vatheit verdichte und konkretisiere sich 
jedoch erst durch einen Abruf der Daten 
zu einer möglicherweise irreparablen 
Beeinträchtigung. Mit der Speicherung 
allein sei noch kein derart schwerwie- 
gender Nachteil verbunden, dass er die 
Außerkraftsetzung eines Gesetzes erfor- 
derte. Dies gilt auch für die Speicherung 
der Daten von Berufsgeheimnisträgern. 
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Ein die Aussetzung der Speicher- 
pflicht erfordernder besonders schwerer 
Nachteil ergebe sich auch nicht daraus, 
dass beim Short Message Service (SMS) 
Verkehrsdaten und Kommunikations- 
inhalte möglicherweise nicht getrennt 
werden können. Nach dem klaren Wort- 
laut des $ 113b Abs. 5 TKG dürften der 
Inhalt der Kommunikation, Daten über 
aufgerufene Internetseiten und Daten 
von Diensten der elektronischen Post 
auf Grund dieser Vorschrift nicht ge- 
speichert werden. Wenn dies technisch 
zurzeit noch nicht möglich sein soll- 
te, rechtfertigt das nicht, sich über die 
Maßgabe des Gesetzes hinwegzusetzen; 
vielmehr sind dann zunächst die techni- 
schen Bedingungen zu schaffen, um die 
Speicherpflicht erfüllen zu können. 

Im Verkehrsdatenabruf nach $ 100g 
Abs. 1 und 2 StPO liege ein schwerwie- 
gender und nicht mehr rückgängig zu 
machender Eingriff in das Grundrecht 
aus Art. 10 Abs. 1 GG. Doch hat der Ge- 
setzgeber mit $ 100g Abs. 2 StPO den 
Abruf von TK-Verkehrsdaten im Sinne 
des $ 113b TKG von qualifizierten Vo- 
raussetzungen abhängig gemacht, die 
das Gewicht der dem Einzelnen und 
der Allgemeinheit durch den Vollzug 
der Vorschrift drohenden Nachteile für 
die Übergangszeit bis zur Entscheidung 
über die Hauptsache hinnehmbar und 
im Vergleich mit den Nachteilen für das 
öffentliche Interesse an einer effektiven 
Strafverfolgung weniger gewichtig er- 
scheinen lassen. 

Das BVerfG hatte in seiner Entschei- 
dung über den Antrag auf einstweilige 
Anordnung gegen das Gesetz zur Neu- 
regelung der Telekommunikationsüber- 
wachung vom 21.12.2007, die noch eine 
sechsmonatige Speicherung vorgesehen 
hatte, wegen des öffentlichen Gewichts 
einer wirksamen Verfolgung schwerer 
Straftaten solche Abrufersuchen zuge- 
lassen, die der Verfolgung von Katalog- 
taten im Sinne des $ 100a Abs. 2 StPO 
dienten, wenn darüber hinaus auch die 
Voraussetzungen des $ 100a Abs. 1 
StPO vorlagen, namentlich die Tat auch 
im Einzelfall schwer wog und die Er- 
forschung des Sachverhalts oder die 
Ermittlung des Aufenthaltsortes des Be- 
schuldigten aufandere Weise wesentlich 
erschwert oder aussichtslos gewesen 
wäre. Diese Voraussetzungen ergeben 
sich nunmehr unmittelbar aus $ 100g 
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Abs. 2 Satz 1 StPO. Angesichts dieser 
Einschränkungen habe das öffentliche 
Strafverfolgungsinteresse grundsätzlich 
derartiges Gewicht, dass die Aussetzung 
der Vorschrift durch eine einstweilige 
Anordnung trotz der entgegenstehenden 
gewichtigen Nachteile nicht geboten ist. 

Auch in Blick auf die das zu beachten- 
de Verfahren regelnden $$ 10la, 101b 
StPO sei eine einstweilige Anordnung 
nicht geboten. Ob und gegebenenfalls in 
welcher Weise die Europäische Grund- 
rechtecharta oder sonstiges Unionsrecht 
für die Beurteilung der angegriffenen 
Vorschriften Bedeutung entfaltet, sei 
im Hauptsacheverfahren zu entschei- 
den. Dass Unionsrecht dazu verpflichten 
könnte, die angegriffenen Vorschriften 
schon im Eilverfahren im Wege der 
einstweiligen Anordnung außer Kraft zu 
setzen, sei weder substantiiert vorgetra- 
gen noch ersichtlich. 

Zeitgleich mit dem Hauptsachever- 
fahren des BVerfG befasst sich der 
Europäische Gerichtshof (EuGH) mit 
den Speichergesetzen in Schweden und 
Großbritannien. Am 08.04.2014 hat- 
te der EuGH in einem spektakulären 
Urteil die EU-Richtlinie zur Vorrats- 
datenspeicherung für ungültig erklärt 
(BVerfG, PE 15.07.2016, Eilanträge 
gegen das Vorratsdatenspeicherungs- 
gesetz erfolglos, Krempl, Verfassungs- 
gericht lehnt Eilanträge gegen die Vor- 
ratsdatenspeicherung ab, www.heise.de 
15.07.2016; Janisch, Sammeln erlaubt, 
SZ 16./17.07.2016, 9). 


OVG Hamburg 


Facebooks Klarnamen- 
zwang behält vorläufigen 
Rechtsschutz 


Das Hamburger Oberverwaltungs- 
gericht (OVG) wies mit Beschluss 
vom 29.06.2016 die Beschwerde des 
Hamburgischen Beauftragten für Da- 
tenschutz und Informationsfreiheit 
(HmbBfDI) gegen die Entscheidung 
des Verwaltungsgerichts (VG) Hamburg 
zurück, wonach die Internet-Plattform 
Facebook vorerst nicht verpflichtet sein 
soll, seinen NutzerInnen den Gebrauch 
von Pseudonymen zu gestatten (Az. 5 
Bs 40/16). Der HmbBfDI Johannes Cas- 
par, bundesweit für Facebook zuständig, 


hatte dies angeordnet. Facebook hatte 
daraufhin erfolgreich beim VG einen 
Eilantrag gestellt. Caspar will jetzt ins 
Hauptverfahren gehen. 

Hintergrund des Streits ist die Sper- 
rung eines Facebook-Kontos, deren 
Nutzerin ein Pseudonym benutzte. Cas- 
per verpflichtete nach ihrer Beschwerde 
die irische Facebook-Tochter dazu, er- 
fundene Namen zuzulassen. Der Daten- 
schutzbeauftragte hatte sich dabei unter 
anderem auf $ 13 Abs. 6 Telemedienge- 
setz (TMG) berufen. Darin wird Nutzern 
das Recht eingeräumt, nicht ihre echten 
Namen verwenden zu müssen. 

Das OVG entschied, es sei derzeit 
offen, ob die Verfügung Caspars zu- 
recht ergangen sei. Dies hänge von der 
Auslegung der EU-Datenschutzricht- 
linie ab. Nach der Rechtsprechung des 
Gerichtshofs der Europäischen Union 
(EuGH) sei nicht geklärt, ob deutsche 
Datenschutzbeauftragte aufgrund nati- 
onaler Regelungen gegen die in Irland 
ansässige Facebook-Tochter vorgehen 
dürften. Mit dieser Auslegung wichen 
die Richter von der Vorinstanz ab. Das 
VG hatte am 03.03.2016 geurteilt, deut- 
sche Gesetze könnten auf Facebook Ire- 
land nicht angewendet werden (Az. 15 
E 4482/15). Das OVG meinte aber, dass 
das Interesse des Datenschutzbeauftrag- 
ten und der Nutzerin, deren Facebook- 
Konto gesperrt wurde, an einem sofor- 
tigen Zugang unter einem Pseudonym 
überwiege nicht das Interesse von Fa- 
cebook an einer Aussetzung der Anord- 
nung überwiege. 

Caspar wies darauf hin, dass die Frage 
der Anwendbarkeit der nationalen Da- 
tenschutzregelungen derzeit vom EuGH 
geprüft werde. Nach seiner Ansicht ist 
für einen effizienten Schutz der Grund- 
rechte Betroffener gegenüber Eingriffen 
in ihre Privatsphäre eine weite Ausle- 
gung der Bestimmung zur Anwendbar- 
keit nationalen Rechts erforderlich. Das 
hatte der EuGH bereits in zwei vorange- 
gangenen Entscheidungen klargestellt: 
„Ich gehe davon aus, dass das europäi- 
sche Gericht die Auffassung aller euro- 
päischen Datenschutzbehörden bestätigt 
und seine bisherige Rechtsprechung 
weiter verfolgen wird. Das Verfahren 
zum Klarnamenzwang geht juristisch in 
die nächste Runde“ (HmbBfDI, Pseu- 
donyme Nutzung bei Facebook weiter 
ungeklärt, PE 01.07.2016; Facebook 
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darf Pseudonyme verbieten - Schlap- 
pe für Datenschützer, www.onvista.de 
01.07.2016; http://justiz.hamburg.de/co 
ntentblob/6472090/721e732f31b252c7 
38c46e4acef22b09/data/5bs40-16.pdf). 


OVG Schleswig-Holstein 


Digitalisierung von Perso- 
nalakten im Auftrag unzu- 
lässig 


Das Schleswig-Holsteinische Oberver- 
waltungsgericht (OVG) hat mit Beschluss 
vom 27.07.2016 entschieden, dass die 
Digitalisierung von Personalakten der 
Landesbeamtinnen und Landesbeamten 
durch einen privaten Unterauftragneh- 
mer unzulässig ist (Az. 2 MB 11/16). 
Ein Landesbeamter hatte der beabsich- 
tigten Digitalisierung seiner Personalakte 
durch einen externen Scan-Dienstleister 
widersprochen und zunächst erfolglos 
beim Verwaltungsgericht um einstweili- 
gen Rechtsschutz nachgesucht. Auf sei- 
ne Beschwerde hin untersagte das OVG 
die Herausgabe seiner Personalakten. Es 
fehle an einer gesetzlichen Grundlage im 
Beamtenrecht, die die Weitergabe von 
Personalakten an externe Stellen erlaubt. 
Bei den beamtenrechtlichen Vorschriften 
zur Vertraulichkeit und Zweckbindung 
der Personalakte ($ 50 Beamtenstatusge- 
setz u. $$ 85 ff. Landesbeamtengesetz) 
handele es sich um abschließende Rege- 
lungen zum Umgang mit personenbezo- 
genen Daten in Personalakten. Danach 
ist der Zugang zu Personalakten nur ei- 
nem begrenzten Personenkreis möglich. 
Um diesen Personenkreis zu erweitern 
— etwa zum Zwecke des Einscannens 
der Personalakten durch ein privates Un- 
ternehmen — hätte es einer gesetzlichen 
Grundlage bedurft. Die Vorschriften des 
$ 17 Landesdatenschutzgesetz zur Ver- 
arbeitung personenbezogener Daten im 
Auftrag seien für die Behandlung von 
Personalakten wegen des abschließenden 
Charakters des Landesbeamtengesetzes 
nicht anwendbar. Ob dies auch für andere 
Beschäftigte im öffentlichen Dienst we- 
gen der auf die beamtenrechtlichen Vor- 
schriften verweisenden Regelung des $ 
23 Abs. 1 Landesdatenschutzgesetz gilt, 
wurde vom Gericht nicht entschieden. 

Bislang waren bereits Unterlagen von 
36.000 Mitarbeitenden elektronisch er- 
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fasst, u. a. die Akten der 29.000 Lehr- 
kräfte des Landes. In der Staatskanzlei, 
so der Leiter für Informationstechnik 
Sven Thomsen, hatte man sich auf der 
sicheren Seite gewähnt, da das Vorgehen 
nicht nur mit allen Ministerien, sondern 
auch mit dem Grundsatzreferat für Be- 
amtenrecht, den Spitzenorganisationen 
der Gewerkschaften und dem Unabhän- 
gigen Landeszentrum für Datenschutz 
abgestimmt worden war. Die Staatskanz- 
lei will jetzt das Landesbeamtengesetz so 
schnell wie möglich ändern lassen, um 
wie bisher weitermachen zu können. Die 
Personalakte eines Beschäftigten umfasst 
im Schnitt 350 Seiten. Die Landesregie- 
rung hatte im Mai 2015 beschlossen, die 
Unterlagen künftig ausschließlich elekt- 
ronisch zu führen. Der Landes-IT-Dienst- 
leister Dataport vergab den Unterauftrag 
an Rhenus Office Systems, das sich auf 
solche Aufgaben spezialisiert hat. Dessen 
Beschäftigte scannten bis zu 1.000 Per- 
sonalakten pro Woche ein und signieren 
dabei die erfassten Seiten so, dass sie 
nachträglich nicht unerkannt verändert 
werden können. Thomsen geht von einer 
viermonatigen Verzögerung und einem fi- 
nanziellen Schaden von bis zu 300.000 € 
aus: „Das ist ärgerlich, weil wir das Pro- 
jekt engagiert und stringent geplant ha- 
ben.“ Schleswig-Holstein sei mit seiner 
Digitalisierung Pionier, weshalb andere 
Bundesländer interessiert nach Kiel bli- 
cken würden (Hiersemenzel, Personal- 
akten zurück in Beamtenhand, Kieler 
Nachrichten, 30.07.2016, 10; Oberver- 
waltungsgericht Schleswig untersagt im 
Eilrechtsschutzverfahren die Digitali- 
sierung der Personalakte eines Landes- 
beamten durch einen Unterauftragneh- 
mer,  http://www.schleswig-holstein.de, 
28.07.2016). 


KG Berlin 


WhatsApp muss AGB in 
Deutsch anbieten 


Das Berliner Kammergericht (KG) hat 
dem Messenger-Dienst WhatsApp mit 
Urteil vom 08.04.2016 untersagt, auf 
seiner deutschen Internetseite nur eng- 
lischsprachige Allgemeine Geschäftsbe- 
dingungen (AGB) zu verwenden (5-U- 
156/14). Damit gaben die Richter einer 
Klage des Verbraucherzentrale Bundes- 


verbands (vzbv) gegen das in Kalifor- 
nien ansässige Unternehmen statt. Der 
vzbv hatte kritisiert, dass die seitenlan- 
gen und mit Fachausdrücken gespickten 
Nutzungsbedingen für VerbraucherIn- 
nen aus Deutschland weitgehend unver- 
ständlich sind. 

WhatsApp, das seit 2014 zu Face- 
book gehört, wirbt auf seiner ansonsten 
deutschsprachigen Internetseite um Kun- 
dInnen für seinen Messenger-Dienst. 
Nachrichten schreiben per Whatsapp 
ist laut Selbstdarstellung nicht nur „ein- 
fach“, sondern auch „persönlich“. Dies 
gilt aber nicht für Nachrichten an das 
Unternehmen. Wer Whatsapp nutzen 
möchte, muss sich zunächst registrieren 
und den nur in englischer Sprache ver- 
fügbaren Nutzungsbedingungen und der 
englischsprachigen Datenschutzrichtli- 
nie (20 DIN-A4-Seiten) zustimmen. Der 
Text enthält eine Vielzahl von Freiga- 
beerklärungen. So erlaubt der Text dem 
Unternehmen, die Telefonkontakte der 
KundInnen zu durchsuchen und seine 
Status-Texte für geschäftliche Zwecke zu 
verwenden. Aus den Daten, die Whats- 
app mit verschiedenen Analysemetho- 
den sammelt, darf der Dienst gemäß 
dem Kleingedruckten die Vorlieben der 
KundiInnen ermitteln und seinen Service 
entsprechend anpassen. Nutzende müs- 
sen bestätigen, dass sie älter als 16 Jahre 
seien. Wenn sich Whatsapp mit einem 
anderen Unternehmen zusammenschließt 
oder seinen Dienst an eine andere Firma 
verkauft, gehen alle gespeicherten Nut- 
zungsdaten an das andere Unternehmen 
über. All das wird ausschließlich in Eng- 
lisch beschrieben. 

Das KG schloss sich der Auffassung 
des vzbv an, dass diese Praxis für Ver- 
braucherInnen nicht zumutbar, intrans- 
parent und benachteiligend für deutschen 
Nutzerinnen ist. Alltagsenglisch sei hier- 
zulande zwar verbreitet, nicht aber juris- 
tisches, vertragssprachliches und kom- 
merzielles Englisch. Kein Kunde müsse 
damit rechnen, „einem umfangreichen, 
komplexen Regelwerk mit sehr, sehr 
vielen Klauseln“ in einer Fremdsprache 
ausgesetzt zu sein. Solange die Bedin- 
gungen nicht ins Deutsche übersetzt sind, 
seien sämtliche Klauseln intransparent 
und damit unwirksam. Wird das Urteil 
rechtskräftig, muss WhatsApp die Nut- 
zungsbedingungen und Datenschutzhin- 
weise in deutscher Fassung bereitstellen. 
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Tut das Unternehmen dies nicht, so droht 
ein Ordnungsgeld von bis zu 250.000 €. 

Die Richter monierten außerdem ei- 
nen Verstoß gegen das Telemediengesetz 
(TMG). Nach $ 5 Abs. 1 Nr. 2 TMG müs- 
sen Anbieter neben einer E-Mail-Adresse 
eine zweite Möglichkeit zu einer schnel- 
len und unmittelbaren Kontaktaufnahme 
angeben, zum Beispiel ein Kontaktfor- 
mular oder eine Telefonnummer, unter 
der die Firma zu erreichen ist. Diese 
zweite Möglichkeit fehlte bei WhatsApp. 
Das Unternehmen hatte zwar einen Link 
auf seine Seiten bei Facebook und Twit- 
ter gesetzt. Doch über Twitter können 
Nutzer keine Nachrichten an das Unter- 
nehmen senden. Und sein Facebook-Pro- 
fil hatte WhatsApp so eingerichtet, dass 
die Zusendung einer Nachricht ausge- 
schlossen war. 

Whatsapp hat kein Büro in Deutsch- 
land. Trotzdem sind deutsche Gerichte zu- 
ständig, da sich deren Werbung explizit an 
deutsche KundInnen richtet. Nicht durch- 
dringen konnte der vzbv dagegen mit sei- 
ner Auffassung, dass im Impressum auch 
ein Vertretungsberechtigter des Unterneh- 
mens genannt werden muss. Das Gericht 
urteilte, dass dem europäischen Recht ent- 
sprechend nur die Nennung des Namens 
und der Anschrift des Diensteanbieters 
vorgeschrieben sei. Das Kammergericht 
hat keine Revision gegen das Urteil zu- 
gelassen. WhatsApp kann dagegen aber 
noch eine Nichtzulassungsbeschwerde 
beim Bundesgerichtshof einlegen. 

Klaus Müller, Vorstand des vzbv, be- 
grüßte das Urteil: „AGB von Unterneh- 
men sind ohnehin oft lang und für Ver- 
braucher schwer verständlich. Dass die 
Millionen deutschen Nutzer von Whats- 
App diese nicht auch noch in einer frem- 
den Sprache hinnehmen müssen, ist auch 
ein wichtiges Signal an andere internatio- 
nal handelnde Unternehmen.“ (vzbv, PE 
17.05.2016, WhatsApp muss AGB auf 
Deutsch bereitstellen; Ludwig, Was ist 
los? SZ 17.05.2016). 


OLG Stuttgart 


Kein Dashcam-Verwer- 
tungsverbot bei OWi-Ver- 
fahren 


Der Senat für Bußgeldsachen des 
Oberlandesgerichts (OLG) Stuttgart hat 
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es mit rechtskräftigem Beschluss vom 
04.05.2015 für grundsätzlich zulässig 
erachtet, in einem Bußgeldverfahren ein 
Video zu verwerten, das ein anderer Ver- 
kehrsteilnehmer mit einer „Dashcam“ 
aufgenommen hat (4 Ss 543/15, Vorin- 
stanz Amtsgericht — AG — Reutlingen, U. 
v. 27.05.2015 — 7 OWi 28 Js 7406/15). 
Dies gelte jedenfalls für die Verfolgung 
schwerwiegender Verkehrsordnungswid- 
rigkeiten wie — vorliegend — eines Rot- 
lichtverstoßes an einer mindestens seit 
sechs Sekunden rot zeigenden Ampel. 
Als „Dashcam“ wird eine auf dem Arma- 
turenbrett oder an der Windschutzscheibe 
eines Fahrzeugs angebrachte Videoka- 
mera bezeichnet, die während der Fahrt 
aufnimmt. 

Das AG Reutlingen hatte gegen den 
Betroffenen wegen einer fahrlässigen 
Ordnungswidrigkeit des Missachtens des 
Rotlichts einer Ampel eine Geldbuße von 
200 Euro und ein Fahrverbot von einem 
Monat verhängt. Den Tatnachweis konn- 
te das Amtsgericht allein aufgrund eines 
Videos führen, das ein anderer Verkehrs- 
teilnehmer zunächst anlasslos mit einer 
„Dashcam“ aufgenommen hatte. Das 
OLG verwarf die Rechtsbeschwerde des 
Betroffenen und bestätigte das Urteil. 

Der Senat ließ es offen, ob bzw. unter 
welchen Umständen die Nutzung einer 
„Dashcam“ durch einen Verkehrsteilneh- 
mer gegen $ 6b des Bundesdatenschutz- 
gesetzes (BDSG) verstößt, der die Beob- 
achtung öffentlich zugänglicher Räume 
mit optisch-elektronischen Einrichtungen 
nur in engen Grenzen zulässt. Jedenfalls 
enthalte $ 6b Abs. 3 Satz 2 BDSG kein 
Beweisverwertungsverbot für das Straf- 
und Bußgeldverfahren. Somit folge aus 
einem (möglichen) Verstoß gegen diese 
Vorschrift nicht zwingend eine Unver- 
wertbarkeit der Videoaufnahme. Über die 
Verwertbarkeit sei vielmehr im Einzelfall 
unter Abwägung der widerstreitenden In- 
teressen zu entscheiden. 

Dass das AG im vorliegenden Fall kein 
Beweisverwertungsverbot angenommen 
habe, sei aus Rechtsgründen nicht zu be- 
anstanden. Zwar griffen Videoaufnahmen 
von Verkehrsvorgängen in das allgemei- 
ne Persönlichkeitsrecht des Betroffenen 
aus Art. 2 Abs. 1 i. V.m. Art. 1 Abs. 1GG 
ein. Die Intensität und Reichweite des 
Eingriffs sei im konkreten Fall jedoch ge- 
ring. Insbesondere betreffe ein Video, das 
lediglich Verkehrsvorgänge dokumentie- 


re und mittelbar die Identifizierung des 
Betroffenen über das Kennzeichen seines 
Fahrzeugs ermögliche, nicht den Kern- 
bereich seiner privaten Lebensgestaltung 
oder seine engere Privat- oder gar Intim- 
sphäre. Im Rahmen der Abwägung seien 
zudem die hohe Bedeutung der Verfol- 
gung schwerer Verkehrsverstöße für die 
Sicherheit des Straßenverkehrs und das 
Gewicht des Verstoßes im Einzelfall zu 
berücksichtigen. 

Das OLG hob hervor, dass die Buß- 
geldbehörden ihrerseits bereits bei Ver- 
fahrenseinleitung die Verwertbarkeit 
derartiger Aufnahmen zu prüfen und u. 
a. die Schwere des Eingriffs gegen die 
Bedeutung und das Gewicht der ange- 
zeigten Ordnungswidrigkeit abzuwägen 
hätten. So betonte auch Hannes Krämer, 
Justiziar des Automobilclubs ACE, dass 
es auf den Einzelfall ankäme, weshalb 
auch die Polizei keine Flut von Anzeigen 
durch Denunzianten auf sich zukommen 
sieht, so Oliver Malchow, Chef der Poli- 
zeigewerkschaft GdP: „Wir wollen keine 
Bespitzelung“. Dieser Aussage schloss 
sich auch der Gesamtverband der Deut- 
schen Versicherungswirtschaft (GDV) 
an. Aufgrund des Opportunitätsgrund- 
satzes (vgl. $ 47 OWiG) stehe es den 
Bußgeldbehörden frei, ein ausschließlich 
auf der Ermittlungstätigkeit von Privaten 
mittels „Dashcam“ beruhendes Verfahren 
nicht weiter zu verfolgen. Rechtsfragen, 
die sich beim Einsatz von „Dashcams“ 
stellen, sind in der Rechtsprechung und 
der Literatur stark umstritten und wer- 
den uneinheitlich beantwortet. Auch der 
54. Deutsche Verkehrsgerichtstag hatte 
sich im Januar 2016 mit dieser Thematik 
befasst (PE OLG Stuttgart, 18.05.2016, 
„Dashcam“-Aufnahmen können zur 
Verfolgung schwerwiegender Verkehrs- 
ordnungswidrigkeiten grundsätzlich ver- 
wertet werden; Temsch, Spione an der 
Scheibe, SZ 20.05.2016, 1). 


LG Frankfurt 


Informationspflicht für 
TV-Gerätehersteller über 
Datenerhebung 


Das Landgericht (LG) Frankfurt 
a. M. verurteilte auf die Klage der 
Verbraucherzentrale Nordrhein- 
Westfalen (VZ NRW) den Smart-TV- 
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Hersteller Samsung, die KäuferInnen 
seiner Smart-TV darauf hinzuweisen, 
dass beim Anschluss des Fernsehers 
ans Internet personenbezogene Da- 
ten erhoben und verwendet werden 
können (Urt. v. 10.06.2016, Az. 2-03 
O 364/15). Zugleich untersagte das 
Gericht am Freitag die Verwendung 
zahlreicher Klauseln in den Allgemei- 
nen Geschäftsbedingungen (AGB) 
wegen mangelnder Transparenz. Die 
VZ NRW warf Samsung vor, Kunden- 
daten ohne Einwilligung der Betrof- 
fenen an die Firmenserver zu senden, 
sobald ein Gerät mit dem Internet 
verbunden wird. Mit ihrer Muster- 
klage zielte die VZ NRW darauf ab, 
Daten erst nach entsprechender Infor- 
mation durch die Gerätehersteller und 
nach Einwilligung der NutzerInnen 
zu übertragen. 

Soweit Samsung die Erhebung per- 
sonenbezogener Daten im Rahmen 
der Nutzung des sogenannten Hbb- 
TV-Dienstes bei Smart-TVs sowie 
der Einrichtung des Smart-TVs ohne 


vorherige Zustimmung untersagt wer- 
den sollte, hat das Gericht die Klage 
jedoch abgewiesen. Diese Daten wür- 
den nicht an die verklagte deutsche 
Gesellschaft, sondern vielmehr an die 
Betreiber der HbbTV-Dienste einer- 
seits und die nicht verklagte auslän- 
dische Konzernmutter andererseits 
übermittelt werden. Ob die Daten- 
übermittlung in der konkreten Art und 
Weise rechtmäßig war, wurde daher 
von der Kammer nicht entschieden. 
Samsung wurde jedoch verurteilt, 
KäuferInnen eines Smart-TV darauf 
hinzuweisen, dass bei Anschluss des 
Smart-TV an das Internet die Ge- 
fahr besteht, dass personenbezogene 
Daten des Verbrauchers erhoben und 
verwendet werden. Hierbei ist das 
Gericht davon ausgegangen, dass es 
einem Teil der Verbraucher, die ein 
solches Smart-TV-Gerät erwerben, 
nicht bekannt ist, dass nach Anschluss 
des Geräts personenbezogene Daten 
in Form von IP-Adressen auch dann 
erhoben werden können, wenn die 


Internet-Funktionalität des Smart-TV 
überhaupt nicht genutzt wird. Dem 
Verbraucher sei in der Regel nicht be- 
kannt, dass über die HbbTV-Funktion 
des Smart-TV Fernsehsender perso- 
nenbezogene Daten in Form von IP- 
Adressen erheben können. 

Die Klage hatte weiterhin Erfolg, 
soweit sie die AGBs von Samsung 
und die konkrete Form der Daten- 
schutzerklärungen betraf. Das Ge- 
richt hat es als unzumutbar angese- 
hen, dass diese auf jeweils über 50 
Bildschirmseiten präsentiert werden 
und zu lang und nicht hinreichend 
lesefreundlich aufbereitet sind. Dar- 
über hinaus wurde Samsung die Ver- 
wendung einer Vielzahl von Klauseln 
in ihren AGBs untersagt. Gründe 
hierfür waren die nicht ausreichen- 
de Bestimmtheit und Transparenz im 
Hinblick auf den Umfang der Daten- 
übermittlung und -verwendung (Teil- 
sieg für NRW-Verbraucherschützer, 
www.lto.de 10.06.2016). 


slfelslei-tJeig-Teialölate[-ie 
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Handbuch 


BRICHT FAN TG) 
Mitbestimmung 


Wedde, Peter (Hrsg.) 

Handbuch Datenschutz und 
Mitbestimmung 

Bund Verlag Frankfurt/Mai 2016, 
417 S., 49,90 € 

ISBN 978-3-7663-6442-5, 
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(tw) Der Bund-Verlag ist bekannt für 
seine arbeitnehmerorientierte Fachli- 
teratur, die sich an Betriebs- und Per- 
sonalräte richtet. Mit dem neuen von 
Peter Wedde herausgegebenen Werk 
ergänzt der Verlag sein Portfolio beim 
Datenschutz. Es gibt einen umfassenden 
Ein- und Überblick zum Beschäftigten- 
datenschutz und beschränkt sich nicht, 
wie der Titel suggeriert, auf die kol- 
lektivrechtliche Seite. Zwar titelt es als 
„Handbuch“, tatsächlich geeignet ist es 
auch als Einführung und Lehrbuch. Die 
AutorInnen Stefan Brink, Isabel Eder, 
Nadja Häfner-Beil, Heinz-Peter Höller, 
Silvia Mittländer, Marc-Oliver Schul- 
ze, Regian Steiner und der Herausgeber 
erklären den Datenschutz von der Pike 
auf, indem sie erst dessen Grundlagen, 
deren individual- und dann deren kol- 
lektivrechtliche Seite und die spezifische 


Rolle des Datenschutzbeauftragten be- 
leuchten. In den letzten beiden Kapiteln 
befasst sich das Werk mit Einzelthemen 
(Leistungs- und Verhaltenskontrollen, 
Bewerbung, Arbeitsvertrag, Personal- 
akte, Gesundheitsdaten, Betriebsüber- 
gang und Rechtsverstöße) und neuen 
Technologien (Personal-DV, Kommu- 
nikationsdienste, Internet, Mobilität, 
Business Intelligence, Industrie 4.0 und 
E-Learning). Diese vertiefenden Teile 
finden sich so in anderen vergleichbaren 
Werken nicht. Der Anhang führt die Ad- 
ressen der Datenschutzbehörden und ein 
ausführliches Stichwortverzeichnis. 

Die Neuerungen durch die Daten- 
schutz-Grundverordnung werden zwar 
erwähnt, aber nicht ausführlich darge- 
stellt. Die Besonderheit liegt weniger 
im Juristischen, dass hinreichend dar- 
gestellt wird, sondern in der Praxisver- 
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mittlung, wozu viele anschauliche Bei- 
spielfälle und Checklisten nützlich sind, 
und in der verständlichen Darstellung. 
Die Quellenverweise sind eher sparsam. 
Dies hindert PraktikerInnen aber nicht, 
das Werk als Handbuch und Nachschla- 
gewerk zu nutzen. 


Laue, Philip / Nink, Judith / 
Kremer, Sascha 

Das Neue Datenschutzrecht in der 
betrieblichen Praxis 

Nomos Verlagsgesellschaft Baden- 
Baden 2016, 326 S., 48,00 € 

ISBN 978-3-8487-2377-5 


(tw) Das Rennen hat begonnen: Kaum 
ist der endgültige Text der Europäischen 
Datenschutz-Grundverordnung (DS- 
GVO) fixiert, hat der Kampf um deren 
Interpretation und um die frühestmögli- 
che Kommentierung begonnen. Tatsäch- 
lich dürfte es kaum eine europäische 
Regelung geben, zu der in kürzester Zeit 
vergleichbar viele Interpretationsange- 
bote auf dem Meinungsmarkt der Fach- 
presse geworfen wurden und werden. Es 
geht auch um viel — um die Auslegung 
der ersten europäischen direkt verbind- 
lichen Regeln zur personenbezogenen 
Datenverarbeitung; letztlich geht es um 
die Rahmenbedingungen eines riesigen 
und weiter zunehmenden Geschäfts- 
zweigs der digitalen Informationsge- 
sellschaft. Wer als Erster qualifiziert auf 
dem Markt ist, wird zitiert und gibt Mei- 
nungen, Schwerpunkte und Niveau der 
Auseinandersetzung vor. 

Insofern ist dem Buch von Laue/Nink/ 
Kremer ein erster Platz wohl nicht strei- 
tig zu machen: Es handelt sich, nach der 
Veröffentlichung von vielen Fachaufsät- 
zen, um die erste umfassende und um- 
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fangreiche systematische Darstellung 
der DSGVO. Angesichts eines Redakti- 
onsschlusses von Juli 2016 (berücksich- 
tigt sind nicht nur das Inkrafttreten der 
DSGVO, sondern z. B. auch — zumin- 
dest als in Form einer kurzen inhaltli- 
chen Erwähnung — das Privacy Shield) 
ist die Herausgabe Anfang August 2018 
wohl ein Meisterwerk nicht nur von den 
AutorInnen, sondern auch von Verlag, 
Herstellung und Vertrieb. Überraschend 
ist dann nicht nur die Geschwindigkeit, 
sondern auch Umfang und Qualität des 
Inhalts. Das Buch enthält eine gediege- 
ne Erstkommentierung der DSGVO, bei 
der nicht nur einige BDSG-Kommentie- 
rungen, sondern auch die aktuelle Litera- 
tur sehr weitgehend berücksichtigt wird. 
Dabei greift es die dort geführten Dis- 
kussionen auf und vertritt eigene Mei- 
nungen unter ausführlichem Rückgriff 
auf den Text und die Erwägungsgründe 
der DSGVO. Dies wird in den aktuellen 
rechtlichen Kontext, vom bestehenden 
BDSG über das TMG bis hin zur Recht- 
sprechung und zum Schrifttum, gestellt. 
Die Streitstände werden nachvollzieh- 
bar dargestellt und bewertet, wobei eine 
eher praxis- und verarbeitungsfreundli- 
che pragmatische Linie verfolgt wird, 
die am Bekannten (nämlich der bisheri- 
gen BDSG-Interpretation) anknüpft. 
Dennoch kann der Buchtitel missver- 
standen werden. „Betriebliche Praxis“ 
sollte weniger im Sinne von Geschäfts- 
leitungen, Betriebsräten oder allgemei- 
nes Unternehmens-Justiziariat verstan- 
den werden, sondern cher als „Daten- 
schutzjuristen“. Die Ausführungen sind 
vorrangig rechts- und nicht technikbe- 
zogen, teilweise sehr abstrakt und vor- 
aussetzungsvoll. Zwar enthält das Buch 
eingängige Beispiele und Hinweise für 
die Praxis. Adressiert werden aber eher 
juristisch vorgebildete externe, inter- 
ne, unabhängige, interessierte ... Da- 
tenschützerInnen. Denen werden nun 
keine Patentrezepte geliefert, sondern 
erste DSGVO-Erläuterungen, wobei 
auf Vorläufigkeiten und Unklarheiten 
hingewiesen wird. Das deutsche Umset- 
zungsgesetz — selbst als Entwurf - lag 
ja auch noch nicht vor. Abgedeckt wird 
also bei weitem nicht das Datenschutz- 
recht insgesamt, sondern werden die 
Neuigkeiten durch die DSGVO. Nicht 
nur im Stichwortverzeichnis, sondern 
auch im Text finden sich einige relevan- 


te Anwendungen nicht oder nur ganz am 
Rande, z. B. Videoüberwachung, Aus- 
kunfteien, Gesundheits- oder Sozialda- 
tenverarbeitung. 

Das Buch ist insofern äußerst wert- 
und verdienstvoll, dass es die kompli- 
zierte Suche der verstreuten aktuellen 
Fachartikeln weitgehend unnötig macht 
und hierauf präzise verweist. Die Ver- 
zeichnisse (Inhalt, Literatur, Stichworte) 
sind praktikabel und hilfreich. Für einen 
ersten Einstieg in und einen Überblick 
über die DSGVO ist das Buch schon 
zu detailliert. Als Handbuch und Nach- 
schlagewerk und Recherchehilfe ist es, 
nicht nur für die betriebliche Praxis, her- 
vorragend geeignet. 


Datenschutz- 


Härting, Niko 
Datenschutz-Grundverordnung - 
Das Neue Datenschutzrecht in der 
betrieblichen Praxis 

ottoschmidt Verlag Köln 2016, 198 S., 
39,80 € 

ISBN 978-3-504-42059-8 


(tw) Zu den schnellen Kommentie- 
rern der Datenschutz-Grundverordnung 
(DSGVO) gehört auch Niko Härting, 
der während der Entstehungsphase der 
DSGVO immer wieder zum Ausdruck 
gebracht hat, dass ihm die Richtung, die 
EU-Kommission und -Parlament zum 
Thema eingeschlagen haben, überhaupt 
nicht passt. Dies verheimlicht er auch 
nicht in seinem Vorwort. Umso erfreu- 
licher ist die dogmatisch qualifizierte 
Ausarbeitung. In „über 100 Fragen und 
Antworten“ behandelt auch er — so wie 
der Titel von Laue/Nink/Kremer (s. 0.) 
— „das neue Datenschutzrecht in der be- 
trieblichen Praxis“, wobei hier der Un- 
tertitel das hält, was er ankündigt: Bezo- 
gen auf die praktische Anwendung der 
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DSGVO behandelt Härting systematisch 
— manchmal etwas zu stichwort- und 
aufzählungsartig — alle wichtigen Da- 
tenschutzfragen im Unternehmen. Da- 
bei orientiert er sich weder an der Syste- 
matik der DSGVO noch der des BDSG, 
sondern strukturiert nach betrieblichen 
Fragestellungen: Compliance (bDSB, 
Folgenabschätzung, Transparenz, Ri- 
sikoorientierung, technisch-organisa- 
torische Maßnahmen, Datenpannen, 
Auslandstransfer, Anwendungsbereich, 
Haftung und Sanktionen), materielles 
Datenschutzrecht, Cloud Computing 
und Big Data sowie Betroffenenrechte, 
Aufsicht und Selbstregulierung. 

Bei seiner Darstellung gibt er zu den 
einzelnen Themen jeweils eine Fra- 
gestellung vor, die er erst gemäß dem 
derzeit noch anwendbaren Recht, also 
insbesondere dem BDSG, beantwortet, 
um dann die Änderungen durch die DS- 
GVO darzustellen, wobei er ausführlich 
auch Normtext und Erwägungsgründe 
zitiert, Querverweise herstellt und da- 
nach interpretiert. Dies macht er in einer 
Sprache, die in Unternehmen auch von 
Nicht-JuristInnen verstanden werden 
kann. Wesentliches hält er zusätzlich in 
Merksätzen fest. Dabei bleibt Härting 
seinem Ruf treu, regelmäßig sehr verar- 
beitungsfreundliche Interpretationen zu 
geben, etwa wenn er meint, dass in Art. 
6 Abs. 4 die bisherigen eher strengen 
Zweckbindungsregeln aufgeweicht wür- 
den oder wenn er in der Verwendung des 
Begriffs „vernünftige Erwartungen“ bei 
der Interessenabwägung eine inhaltliche 
Nähe zum „reasonable expectations of 
privacy test“ des US-Rechts suggeriert. 
Verblüffend ist, dass er im Hinblick auf 
Big Data oder Scoring in Art. 22 eine 
eher enge Auslegung präferiert. 

Härtings Darstellung bezieht sich be- 
wusst ausschließlich auf die DSGVO, 
dies aber umfassend, etwa durch Her- 
stellung von Bezügen auch zum Teleme- 
diengesetz. Dabei hat er die im Betrieb 
für die Anpassung an das neue Recht Zu- 
ständigen im Blick, ohne aber in Check- 
listen oder Patentrezepten zu verkürzen. 
Er verzichtet bewusst — abgesehen von 
einigen zentralen Gerichtsentscheidun- 
gen — auf weiteren Quellenhinweise. 
Ein relativ kurzes Stichwortverzeichnis 
ermöglicht beim gezielten Suchen das 
Auffinden relevanter Stellen. Das Buch 
ist also geeignet, Licht in die neue und 
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für die meisten noch ungewohnte Mate- 
rie der DSGVO für Praxisanwendungen 
zu bringen. Eine grundrechtsorientierte 
LeserIn des Buchs sollte die Verfas- 
sungsaspekte mitdenken, die bei der 
zweifellos normdogmatisch stringenten 
Argumentation der Darstellung eher zu 
kurz kommen. 


chutz-Grundwerordnung 
ationale Recht 


Kühling, Jürgen/Martini, Mario/Heber- 
lein, Johanna/Kühl, Benjamin/Nink, 
David/Weinzierl, Quirin/Wenzel, Mi- 
chael 

Die Datenschutz-Grundverordnung 
und das nationale Recht - Erste 
Überlegungen zum innerstaatlichen 
Regelungsbedarf 

Monsenstein Vannerdat Münster, 2016, 
525 S., im Internet abrufbar unter 
http://www.foev-speyer.de/files/de/ 
downloads/Kuehling Martini_et al_ 
Die DSGVO und das_nationale _ 
Recht _2016.pdf 


(tw) Nicht für die Datenschutzpraxis, 
wohl aber für Gesetzgeber, Lobbyver- 
treter und Wissenschaft nützlich ist das 
auch im Internet veröffentlichte Rechts- 
gutachten, das sich mit den von der Da- 
tenschutz-Grundverordnung (DSGVO) 
ermöglichten und geforderten nationa- 
len Regelungen befasst. Das Gutachten 
wurde für das auf Bundesebene mit dem 
Datenschutzrecht federführend betraute 
Bundesministerium des Innern (BMI) 
erstellt, um die sich aus der DSGVO 
ergebenden Handlungsspielräume und 
-pflichten auszuloten. Bevor sich das 
Gutachten mit den 49 Passagen der DS- 
GVO (Erwägungsgründe und Artikel- 
Regelungen) befasst, die Mitgliedstaa- 
ten zu Regelungen ermuntern, werden 
die Hintergründe für den Erlass der DS- 
GVO als Richtlinie, die unionsrechtli- 


chen Steuerungsvorgaben für (echte und 
unechte) Öffnungsklauseln sowie deren 
Typologie dargelegt und in einer Über- 
sichtstabelle der DSGVO zugeordnet. 
In einem weiteren Schritt nimmt sich 
das Gutachten aller Regelungen des 
derzeit bestehenden BDSG an und un- 
tersucht, inwieweit diese beibehalten 
werden können oder müssen, was auch 
übersichtlich in entsprechenden Tabel- 
len abgebildet wird. Das Gutachten ist 
eine wichtige Fleißarbeit, mit der der 
Rahmen der nötigen nationalen Daten- 
schutzregelungen dargestellt wird. Ist 
die DSGVO unklar, so verweist das 
Gutachten hierauf und gibt regelmäßig 
praktikable Empfehlungen (vgl. dazu 
auch Digitalcourage/DVD DANA 2016, 
86 f. sowie die weiteren Stellungnah- 
men im Heft DANA 2/2016). Nicht 
Thema des Gutachtens sind Regelungs- 
bedarfe, die sich nicht aus der DSGVO 
bzw. dem bisherigen BDSG ergeben. 
Diese geraten leider bei der aktuellen 
Diskussion verstärkt aus dem Blickfeld 
(dazu Netzwerk Datenschutzexpertise, 
Datenschutzrechtlicher Handlungsbe- 
darf 2016 für die deutsche Politik nach 
Verabschiedung der EU-DSGVO http:// 
www.netzwerk-datenschutzexpertise. 
de/sites/default/files/empf_2016_nat_ 
regelungsbedarf.pdf). 


Datenschutz 
Nachrichten 


https://www.datenschutzverein.de/ 
wp-content/uploads/2015/038/ 
DANA_3-2015_RoteLinien_ 
Web.pdf 


159 


G H IMDI NST_ 


VOR G_RICHT 


22.10.16 


Forum Geheimdienste und Demokratie 

18 Uhr | Humboldt-Universität 

Theaterinszenierung 

19.38 Uhr | Maxim Gorki Theater www.geheimdienste-vor-gericht.de 


( > — N Se Sesastıan Rewrgungs- 

In Kooperation mit: AMNESTY # Gefördert von: rosa COBLER 9 ” 

INTERNATIONAL = LUXEMBURG STIFTUNG fürBürgerrechte 

LINE EIG ne = - 
Union - 


